Mục lục
Trong thời gian gần đây, một chiến dịch phát tán mã độc quy mô lớn đã bị phát hiện, nhắm trực tiếp vào cộng đồng người chơi Minecraft – đặc biệt là các game thủ trẻ tuổi thường xuyên tải mod từ các nguồn không chính thống. Các kho lưu trữ trên GitHub đã bị lợi dụng để phân phối các mod giả mạo chứa mã độc, với hình thức ngụy trang cực kỳ tinh vi.
Mã độc giấu trong mod Minecraft Forge và quy trình lây nhiễm nhiều tầng
Nhóm đứng sau chiến dịch này – Stargazers Ghost Network – đã sử dụng mô hình “phân phối mã độc dưới dạng dịch vụ” (Distribution-as-a-Service), mở hàng trăm repository giả trên GitHub. Họ đăng tải các mod hoặc công cụ cheat giả dạng hợp pháp, chủ yếu ở dạng file Java (.JAR) tương thích với Minecraft Forge.
Điểm nguy hiểm nằm ở chỗ mã độc chỉ kích hoạt khi trò chơi được chạy. Trước đó, nó sẽ kiểm tra môi trường để tránh bị phân tích: ví dụ nếu phát hiện các công cụ như Wireshark, sandbox hoặc phần mềm chống virus, mã độc sẽ tự động dừng lại. Nếu vượt qua các bước kiểm tra, nó tải xuống một payload thứ hai từ Pastebin, nhằm đánh cắp token xác thực từ Minecraft launcher (cả chính thức lẫn bên thứ ba), cùng với phiên đăng nhập Discord và Telegram.
Sau đó, một payload cuối cùng tên là “44 CALIBER” (viết bằng .NET) sẽ được thực thi. Đây là mã độc chuyên đánh cắp dữ liệu: từ trình duyệt, ví tiền mã hóa, cấu hình VPN, cho đến ảnh chụp màn hình và clipboard. Dữ liệu sau đó được gửi về máy chủ điều khiển qua Discord webhook – một phương thức khó bị phát hiện bởi các công cụ bảo mật truyền thống.
Game thủ trẻ là mục tiêu chính – hơn 1.500 thiết bị đã bị lây nhiễm
Phân tích kỹ thuật cho thấy các dấu hiệu như múi giờ UTC+3, bình luận mã tiếng Nga, và tên gói liên quan đến hồ Baikal, cho thấy nhiều khả năng nhóm vận hành là người nói tiếng Nga. Nhóm cũng sử dụng nhiều tài khoản giả để tăng sao (“star”) cho repository, khiến mod trông hợp pháp và thu hút lượt tải.
Theo báo cáo, hơn 1.500 thiết bị đã bị nhiễm mã độc, với ước tính doanh thu từ hoạt động bất chính có thể đạt 100.000 USD. Điều này đặc biệt nguy hiểm khi cộng đồng Minecraft có lượng lớn người dùng trẻ dưới 21 tuổi – nhóm dễ bị đánh lừa bởi các mod miễn phí và hấp dẫn.
Các chuyên gia an ninh mạng cảnh báo người chơi chỉ nên tải mod từ những nền tảng đáng tin cậy như CurseForge, đồng thời cần cảnh giác với các mod không rõ nguồn gốc hoặc yêu cầu quyền truy cập bất thường. Phụ huynh và người chơi cũng nên nâng cao nhận thức về rủi ro bảo mật trong các nền tảng game mở như Minecraft.
Tóm lại: Chiến dịch mã độc thông qua mod Minecraft giả mạo trên GitHub cho thấy mức độ nguy hiểm khi người dùng chủ quan trong việc cài đặt phần mềm từ nguồn không rõ ràng. Việc nâng cao cảnh giác và lựa chọn nền tảng tải mod an toàn là yếu tố then chốt giúp bảo vệ người dùng, đặc biệt là giới trẻ, khỏi các hiểm họa từ không gian mạng.