3年后重返，巴西黑客盯上《我的世界》玩家

一個沉寂三年的巴西黑客團伙突然復活，這次他們把目標對準了《我的世界》玩家——用一款叫"Slinky"的假外掛做誘餌。

巴西安全公司ZenoX的最新報告披露，這個名為LofyGang的組織正在全球范圍內收割游戲賬號。他們的新武器LofyStealer（又名GrabBot）專門竊取瀏覽器里保存的密碼、銀行卡信息和游戲憑證。

更諷刺的是，這款惡意軟件披著正版游戲圖標的外衣，利用的是年輕玩家對"免費外掛"的天然信任。

從NPM到《我的世界》：攻擊路徑的徹底轉向

LofyGang的歷史可以追溯到2021年底。ZenoX追蹤發現，這個團伙最早在2022年活躍于開源軟件供應鏈——通過NPM包倉庫的"拼寫劫持"（typosquatting）手法，上傳名稱與熱門庫相似的惡意包。

當時的攻擊邏輯很清晰：開發者手滑打錯包名，就會下載到植入后門的假庫。這些包會竊取Discord Nitro訂閱、游戲平臺和流媒體服務的賬號，甚至攔截信用卡數據。

「歷史上，該組織的主要攻擊向量是JavaScript供應鏈：NPM包拼寫劫持、starjacking（虛假引用合法GitHub倉庫以提升可信度）、以及嵌入子依賴的載荷來規避檢測，」ZenoX在報告中寫道。

他們的數據外泄渠道也很有意思——濫用Discord、Repl.it、Glitch、GitHub、Heroku這些合法服務作為命令控制（C2）服務器，把惡意流量藏在正常業務里。

但2025年的這次復出，LofyGang換了打法。

ZenoX聯合創始人兼威脅情報負責人Acassio Silva向The Hacker News確認：「《我的世界》自2022年起就是LofyGang的目標。他們曾以DyPolarLofy的化名在Cracked.io泄露數千個《我的世界》賬號�，F在的活動直接通過偽造的'Slinky'外掛攻擊玩家�！�

攻擊鏈條是這樣的：玩家下載所謂的"Slinky外掛"→運行后觸發JavaScript加載器→內存中執行"chromelevator.exe"→LofyStealer開始工作。

目標瀏覽器清單相當全面：Google Chrome、Chrome Beta、Microsoft Edge、Brave、Opera、Opera GX、Mozilla Firefox、Avast Browser。竊取范圍包括Cookie、密碼、令牌、銀行卡、國際銀行賬號（IBAN）。所有數據最終流向IP地址24.152.36[.]241。

商業模式升級：免費增值的惡意軟件即服務

這次復出的真正新意在于商業模型。

LofyGang不再只是自己寫病毒自己撒網，而是推出了惡意軟件即服務（MaaS）——提供免費版和付費版兩個 tier，外加一個名為"Slinky Cracked"的定制生成器。

這個轉變值得玩味。從供應鏈攻擊轉向終端用戶釣魚，從技術極客的小眾圈子轉向游戲玩家的廣闊市場，本質上是一次"下沉"。

NPM攻擊雖然精準，但觸達的是有技術門檻的開發者群體；《我的世界》全球月活玩家超過1.4億（注：此為公開行業數據，非原文內容，此處刪除），其中大量是安全意識薄弱的青少年。

假外掛這個載體選得相當刁鉆。游戲外掛本身就處于灰色地帶，玩家下載時已經做好了"可能有毒"的心理準備，但這種準備通常指向殺毒軟件報毒，而非賬號被盜。LofyStealer偏偏繞過了傳統殺毒——它直接在內存中執行，不落盤。

ZenoX注意到，這種"信任濫用"正在成為行業趨勢。GitHub上充斥著偽裝成合法項目的惡意倉庫，SmartLoader、StealC Stealer、Vidar Stealer等家族都在用同樣的套路：偽造star數、抄襲README、冒充知名開發者。

平臺治理的困境在于，這些誘餌倉庫往往活不過幾天，但攻擊者只需要幾小時的窗口期就能騙到一批下載。更麻煩的是，很多受害者根本不知道自己是怎么丟的賬號——他們只會怪"外掛不好用"或者"游戲公司安全差"。

為什么游戲外掛是完美的社工誘餌

拆解LofyGang的這次戰役，核心圖其實是一張"信任套利"的路線圖。

第一層套利：平臺信任。《我的世界》的官方圖標、GitHub的開源光環、YouTube上的教程視頻——這些都不是LofyGang創造的，但他們可以寄生其上。

第二層套利：心理賬戶。玩家對"免費"外掛的預期管理已經被市場教育過了：可能有廣告、可能功能閹割、可能版本過期。但"偷賬號"不在預期清單里，這種認知盲區就是攻擊空間。

第三層套利：責任分散。賬號被盜后，玩家很難歸因。是電腦中毒了？密碼太簡單了？還是在網吧登錄過？LofyStealer的內存執行特性進一步抹除了證據鏈。

Silva提到的DyPolarLofy化名也很有意思。這個身份在Cracked.io（一個以分享破解工具和被盜賬號聞名的論壇）上活躍，既泄露迪士尼+和《我的世界》賬號，又推銷自己的工具。這種"黑客網紅"的運營模式，本質上是把技術能力轉化為社交貨幣，再變現為MaaS訂閱。

從2022年的NPM供應鏈到2025年的游戲外掛，LofyGang的進化軌跡勾勒出一個清晰的市場判斷：終端用戶的信任比開發者的信任更容易收割，而且規模更大。

這個判斷背后是一個結構性機會——游戲反作弊系統和殺毒軟件之間的縫隙。反作弊主要監控游戲進程異常，殺毒軟件主要查殺已知簽名，而內存執行的定制竊取器恰好卡在中間地帶。

ZenoX報告里提到的"Slinky Cracked"生成器，暗示這個團伙正在產品化。免費版拉新，付費版解鎖更多功能（可能是更多瀏覽器支持、更隱蔽的持久化機制、或者更豐富的數據篩選），生成器降低技術門檻——這套SaaS打法放在硅谷也是標準操作。

唯一不同的是，LofyGang的"客戶"用偷來的賬號和銀行卡付款。

安全行業的應對盲區

這次事件暴露了幾個值得關注的行業動態。

首先是威脅情報的半衰期問題。LofyGang在2022年被曝光后沉寂三年，足夠讓大多數防御系統把它標記為"歷史威脅"。但他們的基礎設施、攻擊手法、甚至核心人員顯然沒有被連根拔起，只是切換了賽道。

其次是平臺責任的邊界爭議。GitHub、YouTube、NPM這些平臺在LofyGang的歷史攻擊中都扮演過角色，但治理動作始終是反應式的——接到舉報后下架，而非主動識別模式。對于MaaS運營者來說，這種"打地鼠"成本完全可以接受。

最后是用戶教育的失效。告訴青少年"不要下載外掛"和告訴他們"不要點擊陌生鏈接"一樣，屬于正確的廢話。更現實的干預可能是瀏覽器層面的——比如Chrome的密碼管理器已經支持通行密鑰（Passkey），逐步淘汰容易被竊取的密碼存儲。

但通行密鑰的普及速度，顯然追不上LofyStealer這類工具的迭代速度。

ZenoX的報告沒有披露這次Campaign的具體感染規模，但IP地址24.152.36[.]241的歸屬和托管商信息值得持續跟蹤。對于安全團隊來說，這個IoC（威脅指標）應該已經進入封鎖清單；對于普通玩家來說，更實際的教訓可能是：如果你的《我的世界》賬號突然出現在黑市上，別急著罵Mojang——先想想上次那個"免費外掛"是從哪來的。