Repositórios maliciosos ligados à Stargazers Ghost Network entregam um downloader Java, um stealer Java e um stealer .NET contra usuários que instalam mods e ferramentas de automação para Minecraft.
| Componente | Arquivos JAR apresentados como mods, scripts e macros para Minecraft, incluindo artefatos que se passam por Oringo e Taunahi. |
| Vetor | Instalação manual de um JAR malicioso na pasta de mods do Minecraft, com execução quando o cliente carrega o Minecraft Forge. |
| Impacto | Download em múltiplos estágios de stealers Java e .NET capazes de coletar tokens do Discord, dados do Telegram, credenciais de navegadores, carteiras de criptomoedas, perfis de VPN, Steam, FileZilla, área de transferência, captura de tela e metadados do host. |
| Prioridade | Remover mods baixados de repositórios não confiáveis, investigar execução de Java associada ao Minecraft, bloquear os indicadores conhecidos e rotacionar credenciais expostas em Discord, navegadores, VPNs, carteiras e contas de jogos. |
| Artefatos | me.baikal.club, MixinLoader-v2.4.jar, IFMLLoadingPlugin, @Mod, mcmod.info, tasklist, SSHaccess, Discord, Telegram, Skidfuscator. |
| IoCs | hxxps://pastebin[.]com/raw/xCa3vSiP, hxxp://147.45.79[.]104/download, hxxps://pastebin[.]com/raw/C9QvUqi3. |
| Versões | A análise dinâmica citou dependência do Minecraft Forge 1.8.9 indicada em mcmod.info; o valor hardcoded b0.5 aparece como provável versão do stealer. |
Uma campanha direcionada a jogadores de Minecraft usa repositórios no GitHub para distribuir arquivos JAR maliciosos apresentados como mods, scripts e ferramentas de automação. A distribuição utiliza a Stargazers Ghost Network, uma infraestrutura de distribuição como serviço que dá aparência de legitimidade aos repositórios por meio de múltiplas contas que marcam projetos com estrelas. O alvo operacional são usuários que procuram extensões, cheats ou macros para Minecraft e copiam manualmente o JAR para a pasta de mods, permitindo que o próprio fluxo de carregamento do jogo execute o código malicioso quando o cliente é iniciado.
A cadeia é composta por três estágios. O primeiro estágio é um mod Java compatível com Minecraft Forge e não foi construído para execução direta por java -jar, pois o manifesto não contém o atributo Main-Class. A execução depende do ambiente de modding do Minecraft. Após passar por verificações simples de ambiente, o primeiro estágio consulta conteúdo hospedado no Pastebin, decodifica dados em Base64 e recupera o endereço usado para baixar um segundo JAR, identificado como MixinLoader-v2.4.jar. Esse segundo estágio implementa rotinas de roubo de dados e aciona um terceiro componente escrito em .NET, com escopo mais amplo de coleta e exfiltração.
O caso é relevante para defesa corporativa porque o vetor não depende de exploração remota de vulnerabilidade, mas de abuso de confiança em ecossistemas de modding e repositórios públicos. Estáções de trabalho pessoais, máquinas de desenvolvedores e ambientes híbridos podem ser afetados quando jogos e ferramentas de lazer convivem com credenciais de trabalho, chaves de repositório, perfis de VPN, sessões de navegador e dados armazenados em diretórios de usuário. A campanha demonstra como um artefato aparentemente restrito a jogos pode alcançar contas de comunicação, carteiras, clientes FTP, navegadores e dados locais sensíveis.
O ponto inicial é um arquivo JAR hospedado em repositórios que aparentam oferecer mods para Minecraft. Os nomes observados imitam ferramentas conhecidas no ecossistema de scripts e macros, incluindo Oringo e Taunahi, usadas por jogadores que buscam automação ou cheats. Para que a cadeia avance, a vítima precisa copiar o JAR para o diretório de mods do cliente Minecraft. Quando o jogo é iniciado com Minecraft Forge, o carregador de mods processa o pacote e executa a classe anotada com @Mod, que referencia IFMLLoadingPlugin. Essa estrutura permite que o código rode dentro do contexto esperado pelo Forge Mod Loader, contornando análises simplificadas que tentam executar o JAR isoladamente pela linha de comando.
Os dois primeiros estágios usam o pacote me.baikal.club, referência que aparece nos artefatos Java. O primeiro estágio executa verificações de ambiente antes de buscar a próxima carga. Ele consulta propriedades equivalentes às expostas por java -XshowSettings:properties -version e encerra a execução quando detecta termos associados a virtualização. Em seguida, chama o utilitário tasklist para enumerar processos em execução no Windows. Se encontrar processos relacionados a ambientes como VirtualBox, Parallels ou VMware, analisadores como Wireshark ou ferramentas de inspeção de conexões como TCPView, o mod termina. Essa lógica reduz a probabilidade de execução completa em sandboxes automatizadas e dificulta a obtenção de comportamento por detonadores genéricos.
Depois das verificações, o downloader acessa hxxps://pastebin[.]com/raw/xCa3vSiP. O conteúdo recebido está codificado em Base64 e resolve para hxxp://147.45.79[.]104/download, usado para carregar o segundo estágio Java em memória com o nome MixinLoader-v2.4.jar. Também há referência a hxxps://pastebin[.]com/raw/C9QvUqi3 como URL usada para obtenção de endereço de exfiltração. O uso de Pastebin como intermediário separa o artefato distribuído nos repositórios da infraestrutura final de download e exfiltração, permitindo troca de destino sem republicar todos os mods maliciosos.
O stealer Java contém classes com responsabilidades separadas. A classe Baikal executa ações no estágio de pré-inicialização. A classe Discord procura tokens em %APPDATA%/discord/Local Storage/leveldb, lê arquivos com extensão .ldb e varre o conteúdo em busca de tokens. A classe Telegram localiza a pasta tdata, empacota os dados e prepara a exfiltração. A classe SSHaccess baixa e executa um stealer adicional em .NET e usa webhook do Discord para enviar o material coletado. Alguns exemplares podem estar ofuscados com Skidfuscator, o que altera nomes, fluxo e legibilidade do bytecode, mas não muda a dependência central do carregamento pelo Minecraft Forge.
O terceiro estágio .NET amplia a coleta. Após desofuscação, as capacidades observadas incluem extração de credenciais de navegadores Chromium, Edge e Firefox; busca de arquivos em Desktop, Documents e %USERPROFILE%/Source; coleta de dados de carteiras Armory, AtomicWallet, BitcoinCore, Bytecoin, DashCore, Electrum, Ethereum, LitecoinCore, Monero, Exodus, Zcash e Jaxx; captura de perfis de ProtonVPN, OpenVPN e NordVPN; e roubo de dados de Steam, Discord, FileZilla e Telegram. O componente também enumera processos, obtém IP externo, lê a área de transferência e realiza captura de tela. Os dados são compactados em arquivo ZIP e enviados para webhook do Discord com estatísticas comentadas em russo.
A superfície exposta abrange máquinas Windows que executam Minecraft com suporte a mods, especialmente instalações com Minecraft Forge. A análise citou Minecraft Forge 1.8.9 como requisito indicado no mcmod.info do artefato examinado. A execução não ocorre por abertura direta do JAR com java -jar; ela depende do carregamento como mod dentro do cliente, o que torna a condição de exploração mais específica e, ao mesmo tempo, mais compatível com o comportamento real de usuários que instalam conteúdo de terceiros no jogo.
O risco aumenta quando a estáção usada para jogos contém sessões e arquivos de trabalho. O malware procura dados em diretórios padrão do usuário, armazenamento local de aplicações, navegadores, clientes de mensagem, VPNs, carteiras de criptomoedas e ferramentas de transferência de arquivos. Em máquinas de desenvolvedores, a coleta de %USERPROFILE%/Source pode expor código-fonte local, chaves acidentalmente armazenadas em projetos, arquivos de configuração, tokens em .env e material de repositórios ainda não publicado. O material analisado não confirma roubo de chaves específicas de nuvem ou CI/CD, mas a enumeração de diretórios de código cria risco indireto quando esses segredos existem no host.
A campanha também afeta processos de governança de software porque usa GitHub como canal de distribuição e manipula sinais sociais dos repositórios. Estrelas em projetos e nomes familiares de ferramentas podem reduzir a cautela do usuário. Para equipes de segurança, o ponto crítico é tratar repositórios de mods como cadeia de suprimentos não confiável quando não há assinatura, origem verificável, revisão de código e reprodução de build.
- Clientes Minecraft com mods instalados manualmente em diretórios de
mods, incluindo caminhos como\.tlauncher\legacy\Minecraft\game\mods\em ambientes que usam Legacy Launcher. - Instalações com Minecraft Forge compatível com o metadado declarado em
mcmod.info, incluindo o caso analisado com Forge1.8.9. - Contas e aplicações locais com dados em Discord, Telegram, navegadores Chromium, Edge e Firefox, Steam, FileZilla, ProtonVPN, OpenVPN, NordVPN e carteiras de criptomoedas.
- Estáções que armazenam projetos em
%USERPROFILE%/Source, Desktop ou Documents, especialmente quando esses diretórios contêm segredos, configurações ou arquivos exportados de ferramentas internas.
A investigação deve começar pela relação entre processo do Minecraft, runtime Java e atividade de rede. O comportamento esperado de um mod legítimo raramente inclui acesso a Pastebin para buscar endereços codificados, download de JAR adicional de um endereço IP direto e posterior execução de componente .NET. Em EDR, procure processos Java filhos ou relacionados ao cliente Minecraft que executem tasklist, enumerem propriedades do sistema e iniciem conexões HTTP para os indicadores conhecidos. A chamada a tasklist imediatamente antes do término do processo pode indicar tentativa de anti-análise ou checagem de ambiente.
Em endpoints, examine a pasta de mods do Minecraft e compare JARs instalados com origem, assinatura, hash interno e data de criação. Como o manifesto do primeiro estágio não contém Main-Class, a ausência desse atributo não é suficiente para triagem; o foco deve ser a presença de classes Forge, referências a IFMLLoadingPlugin, pacote me.baikal.club, strings de Pastebin, 147.45.79.104, webhooks do Discord, rotinas de ZIP e acesso a diretórios de aplicações sensíveis. Em Java, a busca por @Mod, mcmod.info, URLs em Base64 e referências a tasklist dentro do bytecode ajuda a separar mods funcionais de loaders maliciosos.
Na rede, bloqueios e consultas históricas devem cobrir hxxps://pastebin[.]com/raw/xCa3vSiP, hxxps://pastebin[.]com/raw/C9QvUqi3 e hxxp://147.45.79[.]104/download. O uso de Pastebin não é malicioso por si só, mas a combinação de acesso a URLs raw, execução a partir do diretório de mods e download subsequente de payload deve ser elevada. Em logs de proxy, DNS e firewall, correlacione o horário de acesso com inicialização do Minecraft, criação de arquivos temporários, execução de .NET e conexões para Discord webhook. Como os dados roubados são compactados antes do envio, eventos de criação de ZIP perto do processo Java também são úteis.
A triagem de contas deve considerar que tokens e sessões podem ter sido copiados sem alteração imediata de senha. Discord e Telegram são alvos diretos, enquanto navegadores e VPNs podem permitir acesso posterior a serviços corporativos ou pessoais. A coleta de área de transferência e captura de tela amplia a incerteza, pois credenciais temporárias, códigos de recuperação, frases semente ou dados visíveis na sessão podem ter sido expostos mesmo que não existam arquivos persistentes com esses valores.
- Processo Java associado ao Minecraft executando
tasklistou encerrando após enumeração de processos de virtualização, análise de rede ou ferramentas de depuração. - Acesso HTTP ou HTTPS para
pastebin[.]com/raw/xCa3vSiP,pastebin[.]com/raw/C9QvUqi3ou147.45.79[.]104/downloadoriginado de host com Minecraft instalado. - JARs em diretórios de
modscontendome.baikal.club,MixinLoader-v2.4.jar,IFMLLoadingPlugin,@Mod,mcmod.info, strings codificadas em Base64 e referências a webhooks do Discord. - Leitura de
%APPDATA%/discord/Local Storage/leveldb, acesso a arquivos.ldb, compressão detdatado Telegram e enumeração de diretórios de navegadores, VPNs, carteiras e%USERPROFILE%/Source. - Criação de arquivo ZIP seguida de conexão de saída para Discord webhook a partir de processo Java ou de binário .NET iniciado após o cliente Minecraft.
A contenção inicial deve remover o host da rede quando houver evidência de execução do mod, pois a cadeia realiza coleta local ampla e pode exfiltrar dados por webhook. Em seguida, preserve cópia dos JARs instalados na pasta de mods, histórico de navegador, logs de proxy, eventos de processo e artefatos temporários antes de limpar o ambiente. A simples exclusão do mod reduz a continuidade da execução, mas não invalida tokens já copiados nem desfaz a execução do stealer .NET, portanto a resposta precisa incluir rotação de credenciais e encerramento de sessões.
A correção operacional envolve bloquear os indicadores conhecidos, impedir execução de JARs não aprovados em estáções gerenciadas e restringir instalação de mods em máquinas que também acessam recursos corporativos. Em ambientes com desenvolvedores, aplique separação entre perfil de jogos e perfil de trabalho, remova segredos de diretórios locais e use cofres de credenciais em vez de arquivos persistentes. Para contas de comunicação, revogue sessões ativas do Discord e Telegram quando houver indício de acesso aos diretórios locais. Para navegadores, force logout de sessões críticas, redefina senhas de contas afetadas e revogue tokens de aplicativos conectados.
A validação pós-incidente deve confirmar se houve acesso aos indicadores, se o arquivo MixinLoader-v2.4.jar foi carregado, se um componente .NET foi baixado e se houve envio para Discord webhook. Quando carteiras de criptomoedas estiverem presentes no host, trate a exposição como comprometimento de material sensível e mova fundos por processo controlado para carteiras novas, sem reutilizar sementes, arquivos ou senhas do sistema afetado. Para VPNs, gere novos perfis, revogue certificados e tokens antigos e revise logs de autenticação após a janela provável de infecção.
Para prevenção, repositórios de mods devem ser avaliados como software de terceiros. Repositórios com muitas estrelas não devem substituir revisão técnica, histórico confiável, releases assinados e inspeção do artefato. Em pipelines de segurança, regras YARA ou consultas EDR podem procurar os pacotes, classes e cadeias de URL observadas. Em redes domésticas e corporativas, telemetria de DNS e proxy deve correlacionar execução de Minecraft com Pastebin raw, endereços IP diretos e Discord webhook, pois essa sequência é incomum para mods legítimos.
- Isolar hosts com execução suspeita, coletar JARs da pasta de
mods, registrar árvore de processos e preservar eventos de rede antes da limpeza. - Remover mods não confiáveis, bloquear
hxxps://pastebin[.]com/raw/xCa3vSiP,hxxps://pastebin[.]com/raw/C9QvUqi3ehxxp://147.45.79[.]104/download, e monitorar tentativas de acesso posteriores. - Revogar sessões e rotacionar credenciais de Discord, Telegram, navegadores, VPNs, Steam, FileZilla, repositórios locais e contas presentes no host afetado.
- Revisar diretórios Desktop, Documents e
%USERPROFILE%/Sourcepara segredos expostos; substituir chaves, tokens e arquivos de configuração que estavam armazenados localmente. - Criar controles de aplicação para impedir JARs desconhecidos em estáções corporativas e separar ambientes de jogos de máquinas usadas para desenvolvimento, administração ou acesso a dados sensíveis.
0 Comentários