منو
جستجو

مقالات

خانهمقالات

بدافزار جدید در Minecraft؛ تهدیدی پنهان در ماژول ChatTriggers

میرغضب
مقالات

مقدمه

Minecraft یکی از محبوب‌ترین بازی‌های جهان است، اما همین محبوبیت آن را به هدفی جذاب برای مهاجمان سایبری تبدیل کرده است. به‌تازگی بدافزاری در قالب ماژول ChatTriggers کشف شده که با سرقت اطلاعات کاربران و تزریق کدهای مخرب، امنیت بازیکنان را تهدید می‌کند.

📌 روش نفوذ بدافزار

این بدافزار با استفاده از یک فایل جاوااسکریپت ساده آغاز می‌شود که نقش Loader (بارگذار) را ایفا می‌کند. این فایل وظیفه دارد اسکریپت‌های مخرب بیشتری را از اینترنت دریافت کرده و روی سیستم قربانی اجرا کند.

کد مخرب از دامنه‌ی ناشناس hst.sh دانلود می‌شود و سپس به فایل‌های اصلی ChatTriggers (به‌ویژه ماژول BloomCore) تزریق می‌گردد. این کار باعث می‌شود هر بار که کاربر Minecraft را اجرا کند، کد مخرب نیز دوباره بارگیری و اجرا شود.

این روش در واقع نوعی Remote Code Execution (اجرای کد از راه دور) است که دسترسی کامل به محیط بازی را در اختیار مهاجم می‌گذارد.

🎯 اهداف بدافزار

بررسی فایل‌ها نشان می‌دهد که هدف اصلی این بدافزار سرقت اطلاعات (Infostealer) است. مهم‌ترین داده‌هایی که جمع‌آوری می‌شوند عبارتند از:

  • نام کاربری و UUID بازیکنان

  • Session Tokens و فایل‌های احراز هویت لانچرها

  • داده‌های مربوط به لانچرهای MultiMC، Prism و لانچر رسمی Minecraft

  • فایل‌های مودهای محبوب مثل Feather و Essential

  • آدرس IP عمومی قربانی

این اطلاعات سپس در سرویس hst.sh آپلود شده و لینک آن از طریق یک وب‌هوک دیسکورد به دست مهاجم می‌رسد.

🌐 سرورهای فرماندهی و کنترل (C2)

ارتباط بدافزار تنها محدود به hst.sh نیست. بررسی‌ها نشان می‌دهد داده‌های سرقت‌شده به یک سرور با آی‌پی ۱۷۳.۲۴۹.۲۱۴.۲۰۸ در آلمان (Hetzner Online GmbH) ارسال می‌شوند. این سرور به‌عنوان Command & Control Server عمل کرده و امکان مدیریت حمله از راه دور را برای مهاجم فراهم می‌کند.

⚠️ رفتار مخرب و ماندگاری

  • تزریق کد در فایل‌های ChatTriggers برای اجرای مداوم بدافزار

  • ارسال اعلان به دیسکورد مهاجم با پیام “got ratted!” پس از موفقیت در نفوذ

  • ایجاد فایل پرچم (injection_done.flag) برای اطمینان از باقی ماندن بدافزار در سیستم

این موارد بدافزار را در دسته‌ی Infostealer + Persistence malware قرار می‌دهد.

🛡️ توصیه‌های امنیتی برای کاربران

  1. ماژول‌های ChatTriggers را فقط از منابع رسمی نصب کنید.

  2. پوشه‌های Minecraft و لانچرها را بررسی کنید و در صورت مشاهده فایل‌های مشکوک مانند BloomCore/dungeons/Dungeon.js یا injection_done.flag، آن‌ها را حذف نمایید.

  3. رمز عبور حساب Minecraft/Microsoft را تغییر داده و احراز هویت دو مرحله‌ای (2FA) را فعال کنید.

  4. دامنه‌ها و آی‌پی‌های زیر را مسدود کنید:

    • hst.sh

    • ۱۷۳.۲۴۹.۲۱۴.۲۰۸

  5. از یک آنتی‌ویروس معتبر برای اسکن کامل سیستم استفاده کنید.

نتیجه‌گیری

این حمله نشان داد که حتی افزونه‌های به‌ظاهر بی‌خطر در یک بازی می‌توانند به بستری برای حملات سایبری گسترده تبدیل شوند. روش ساده اما مؤثر این بدافزار (تزریق کد + سرقت اطلاعات) یادآور این نکته است که امنیت دیجیتال تنها به سیستم‌عامل یا مرورگر محدود نمی‌شود؛ بلکه بازی‌ها و افزونه‌های آن‌ها نیز باید تحت نظارت دقیق کاربران و متخصصان امنیتی قرار گیرند.

برای دانلود فایل های بد افزار و تحلیل آن ها به لیک زیر مراجعه کنید:
https://github.com/mirghazabir-ir/warning/tree/main/Minecraft%20ChatTriggers

نوشته قبلی

اینفلوئنسر کریپتو به جرم «کریپتوجکینگ» چند میلیون دلاری به زندان محکوم شد

نوشته بعدی

حملات سایبری منتسب به دولت روسیه علیه زیرساخت‌های حیاتی؛ هشدار رسمی FBI

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *