Malware-Kampagne

Minecraft-Mods als trojanisches Pferd: Stargazers Ghost Network infiziert Spieler über GitHub

, Check Point | Autor: Herbert Wieler

Minecraft-Mods als trojanisches Pferd: Stargazers Ghost Network infiziert Spieler über GitHub

Check Point Research warnt vor einer Malware-Kampagne, die Minecraft-Spieler ins Visier nimmt

Die Security-Forscher von Check Point Research (CPR) haben eine ausgeklügelte Malware-Kampagne entdeckt, die gezielt Minecraft-Spieler angreift. Das sogenannte Stargazers Ghost Network versteckt Schadsoftware in manipulierten Spiel-Mods und verbreitet sie über GitHub – eine Plattform, die eigentlich für Open-Source-Software gedacht ist.

Minecraft gehört mit über 200 Millionen monatlich aktiven Spieler:innen zu den beliebtesten Games weltweit – besonders wegen seiner Modding-Community. Wer das Spiel nach eigenen Vorstellungen erweitern will, nutzt sogenannte Mods. Genau hier setzt die Malware an: Sie tarnt sich als beliebte Cheats oder Automatisierungstools und nutzt das Vertrauen vieler junger Spieler – rund zwei Drittel der Community ist unter 21 – gezielt aus.

So funktioniert die Attacke – in drei Stufen zur vollständigen Kompromittierung

Die Schadsoftware versteckt sich in vermeintlich harmlosen Mods, die auf GitHub bereitgestellt werden. Installiert ein Spieler einen dieser Mods, beginnt im Hintergrund eine dreistufige Infektionskette:

  1. Stufe 1 – Der Einstieg: Ein in Java geschriebener Downloader prüft, ob Minecraft installiert ist und startet nur auf echten Spielerrechnern – nicht in virtuellen Testumgebungen von Sicherheitsforschern.
  2. Stufe 2 – Der Datendieb: Ist die Prüfung bestanden, lädt der Mod eine zweite Schadsoftware nach, die gezielt sensible Daten wie Passwörter oder Login-Daten ausliest.
  3. Stufe 3 – Die volle Kontrolle: In der letzten Phase kommt ein fortgeschrittener Stealer zum Einsatz. Er kann nicht nur Zugangsdaten für Browser, Krypto-Wallets, Discord, Steam und Telegram stehlen, sondern auch Screenshots machen und Systeminformationen sammeln. Die gesammelten Daten werden dann heimlich über Discord exfiltriert – ein Trick, um den Datenverkehr wie normalen Chat-Traffic aussehen zu lassen.

Wer steckt dahinter – und wie viele sind betroffen?

Die Angreifer sind zwar weitgehend anonym, doch Spuren wie russischsprachige Kommentare im Code und ein Zeitverhalten, das auf UTC+3 abgestimmt ist, deuten auf einen russischsprachigen Ursprung hin. CPR beobachtet die Aktivitäten seit März 2025. Erste Hinweise auf das Stargazers Ghost Network gab es bereits im Juli 2024. Das Netzwerk nutzt ein Distribution-as-a-Service-Modell (DaaS): Es betreibt mehrere GitHub-Konten, über die systematisch infizierte Mods verbreitet werden – insbesondere beliebte Tools wie Oringo oder Taunahi, die in der Minecraft-Community für Cheat-Funktionen bekannt sind. Laut CPR könnten mindestens 1.500 Systeme weltweit bereits betroffen sein – Tendenz steigend.

Warum das gefährlich ist – und worauf Spieler achten sollten

Diese Kampagne zeigt, wie alltägliche digitale Erlebnisse – in diesem Fall Gaming – zur Angriffsfläche werden können. Wer Mods herunterlädt, ohne die Quelle genau zu prüfen, kann schnell ungewollt Teil eines größeren Angriffs werden. Empfehlungen für Minecraft-Spieler:

  • Mods nur aus vertrauenswürdigen und verifizierten Quellen herunterladen (z. B. CurseForge, Modrinth).
  • Vorsicht bei Mods, die Cheats, Hacks oder Automatisierungen versprechen – sie sind besonders oft mit Malware infiziert.
  • Betriebssystem, Virenscanner und Sicherheitssoftware immer aktuell halten.
  • Und ganz grundsätzlich: Wenn ein Mod zu gut klingt, um wahr zu sein, ist er es wahrscheinlich auch.

Check Point bietet mit seinen Lösungen Harmony Endpoint und Threat Emulation umfassenden Schutz gegen genau diese Art von Angriffen – sowohl für Privatanwender als auch Unternehmen.