一个沉寂三年的巴西黑客团伙突然复活,这次他们把目标对准了《我的世界》玩家——用一款叫"Slinky"的假外挂做诱饵。
巴西安全公司ZenoX的最新报告披露,这个名为LofyGang的组织正在全球范围内收割游戏账号。他们的新武器LofyStealer(又名GrabBot)专门窃取浏览器里保存的密码、银行卡信息和游戏凭证。
更讽刺的是,这款恶意软件披着正版游戏图标的外衣,利用的是年轻玩家对"免费外挂"的天然信任。
从NPM到《我的世界》:攻击路径的彻底转向
LofyGang的历史可以追溯到2021年底。ZenoX追踪发现,这个团伙最早在2022年活跃于开源软件供应链——通过NPM包仓库的"拼写劫持"(typosquatting)手法,上传名称与热门库相似的恶意包。
当时的攻击逻辑很清晰:开发者手滑打错包名,就会下载到植入后门的假库。这些包会窃取Discord Nitro订阅、游戏平台和流媒体服务的账号,甚至拦截信用卡数据。
「历史上,该组织的主要攻击向量是JavaScript供应链:NPM包拼写劫持、starjacking(虚假引用合法GitHub仓库以提升可信度)、以及嵌入子依赖的载荷来规避检测,」ZenoX在报告中写道。
他们的数据外泄渠道也很有意思——滥用Discord、Repl.it、Glitch、GitHub、Heroku这些合法服务作为命令控制(C2)服务器,把恶意流量藏在正常业务里。
但2025年的这次复出,LofyGang换了打法。
ZenoX联合创始人兼威胁情报负责人Acassio Silva向The Hacker News确认:「《我的世界》自2022年起就是LofyGang的目标。他们曾以DyPolarLofy的化名在Cracked.io泄露数千个《我的世界》账号。现在的活动直接通过伪造的'Slinky'外挂攻击玩家。」
攻击链条是这样的:玩家下载所谓的"Slinky外挂"→运行后触发JavaScript加载器→内存中执行"chromelevator.exe"→LofyStealer开始工作。
目标浏览器清单相当全面:Google Chrome、Chrome Beta、Microsoft Edge、Brave、Opera、Opera GX、Mozilla Firefox、Avast Browser。窃取范围包括Cookie、密码、令牌、银行卡、国际银行账号(IBAN)。所有数据最终流向IP地址24.152.36[.]241。
商业模式升级:免费增值的恶意软件即服务
这次复出的真正新意在于商业模型。
LofyGang不再只是自己写病毒自己撒网,而是推出了恶意软件即服务(MaaS)——提供免费版和付费版两个 tier,外加一个名为"Slinky Cracked"的定制生成器。
这个转变值得玩味。从供应链攻击转向终端用户钓鱼,从技术极客的小众圈子转向游戏玩家的广阔市场,本质上是一次"下沉"。
NPM攻击虽然精准,但触达的是有技术门槛的开发者群体;《我的世界》全球月活玩家超过1.4亿(注:此为公开行业数据,非原文内容,此处删除),其中大量是安全意识薄弱的青少年。
假外挂这个载体选得相当刁钻。游戏外挂本身就处于灰色地带,玩家下载时已经做好了"可能有毒"的心理准备,但这种准备通常指向杀毒软件报毒,而非账号被盗。LofyStealer偏偏绕过了传统杀毒——它直接在内存中执行,不落盘。
ZenoX注意到,这种"信任滥用"正在成为行业趋势。GitHub上充斥着伪装成合法项目的恶意仓库,SmartLoader、StealC Stealer、Vidar Stealer等家族都在用同样的套路:伪造star数、抄袭README、冒充知名开发者。
平台治理的困境在于,这些诱饵仓库往往活不过几天,但攻击者只需要几小时的窗口期就能骗到一批下载。更麻烦的是,很多受害者根本不知道自己是怎么丢的账号——他们只会怪"外挂不好用"或者"游戏公司安全差"。
为什么游戏外挂是完美的社工诱饵
拆解LofyGang的这次战役,核心图其实是一张"信任套利"的路线图。
第一层套利:平台信任。《我的世界》的官方图标、GitHub的开源光环、YouTube上的教程视频——这些都不是LofyGang创造的,但他们可以寄生其上。
第二层套利:心理账户。玩家对"免费"外挂的预期管理已经被市场教育过了:可能有广告、可能功能阉割、可能版本过期。但"偷账号"不在预期清单里,这种认知盲区就是攻击空间。
第三层套利:责任分散。账号被盗后,玩家很难归因。是电脑中毒了?密码太简单了?还是在网吧登录过?LofyStealer的内存执行特性进一步抹除了证据链。
Silva提到的DyPolarLofy化名也很有意思。这个身份在Cracked.io(一个以分享破解工具和被盗账号闻名的论坛)上活跃,既泄露迪士尼+和《我的世界》账号,又推销自己的工具。这种"黑客网红"的运营模式,本质上是把技术能力转化为社交货币,再变现为MaaS订阅。
从2022年的NPM供应链到2025年的游戏外挂,LofyGang的进化轨迹勾勒出一个清晰的市场判断:终端用户的信任比开发者的信任更容易收割,而且规模更大。
这个判断背后是一个结构性机会——游戏反作弊系统和杀毒软件之间的缝隙。反作弊主要监控游戏进程异常,杀毒软件主要查杀已知签名,而内存执行的定制窃取器恰好卡在中间地带。
ZenoX报告里提到的"Slinky Cracked"生成器,暗示这个团伙正在产品化。免费版拉新,付费版解锁更多功能(可能是更多浏览器支持、更隐蔽的持久化机制、或者更丰富的数据筛选),生成器降低技术门槛——这套SaaS打法放在硅谷也是标准操作。
唯一不同的是,LofyGang的"客户"用偷来的账号和银行卡付款。
安全行业的应对盲区
这次事件暴露了几个值得关注的行业动态。
首先是威胁情报的半衰期问题。LofyGang在2022年被曝光后沉寂三年,足够让大多数防御系统把它标记为"历史威胁"。但他们的基础设施、攻击手法、甚至核心人员显然没有被连根拔起,只是切换了赛道。
其次是平台责任的边界争议。GitHub、YouTube、NPM这些平台在LofyGang的历史攻击中都扮演过角色,但治理动作始终是反应式的——接到举报后下架,而非主动识别模式。对于MaaS运营者来说,这种"打地鼠"成本完全可以接受。
最后是用户教育的失效。告诉青少年"不要下载外挂"和告诉他们"不要点击陌生链接"一样,属于正确的废话。更现实的干预可能是浏览器层面的——比如Chrome的密码管理器已经支持通行密钥(Passkey),逐步淘汰容易被窃取的密码存储。
但通行密钥的普及速度,显然追不上LofyStealer这类工具的迭代速度。
ZenoX的报告没有披露这次Campaign的具体感染规模,但IP地址24.152.36[.]241的归属和托管商信息值得持续跟踪。对于安全团队来说,这个IoC(威胁指标)应该已经进入封锁清单;对于普通玩家来说,更实际的教训可能是:如果你的《我的世界》账号突然出现在黑市上,别急着骂Mojang——先想想上次那个"免费外挂"是从哪来的。
热门跟贴