一個偽裝成《我的世界》作弊工具的惡意程序，正在全球玩家的電腦上無聲運行。它不彈窗、不卡頓，卻能把你Chrome里存的密碼、Edge里的銀行卡號、Firefox里的登錄狀態(tài)，全部打包發(fā)走。

安全團隊Zenox.ai在ANY.RUN沙箱上捕獲了這場攻擊的完整鏈條。他們發(fā)現(xiàn)，這背后是一個來自巴西的網(wǎng)絡(luò)犯罪組織——而他們的"商業(yè)模式"，已經(jīng)成熟到讓人不安。

一張圖看懂攻擊全貌

整個攻擊可以用三個階段概括：社會工程誘餌→內(nèi)存級注入→數(shù)據(jù)收割變現(xiàn)。

第一階段，攻擊者把惡意程序包裝成名為"Slinky"的Minecraft作弊器，連圖標都用了游戲官方素材。目標人群很明確：年輕玩家，習慣從非官方渠道下載模組和輔助工具。

第二階段，程序運行后沒有任何可見提示，后臺靜默啟動。它先用一個Node.js編寫的加載器（load.exe）掃描Windows注冊表，定位電腦上安裝的瀏覽器——Chrome、Edge、Brave、Opera GX、Firefox等八款主流產(chǎn)品全部在列。

第三階段是技術(shù)核心：加載器將目標瀏覽器以"掛起狀態(tài)"啟動，在進程完全激活前暫停它，然后把用C++編寫的第二段載荷（chromelevator.exe）直接映射進瀏覽器內(nèi)存。整個過程不寫入硬盤，傳統(tǒng)殺毒軟件很難察覺。

注入完成后，惡意代碼在瀏覽器內(nèi)部運行，提取Cookie、保存的密碼、支付卡信息、活躍會話令牌，甚至IBAN國際銀行賬號。數(shù)據(jù)通過位于巴西某小型數(shù)據(jù)中心的C2服務器（IP：24.152.36.241）外傳。

為什么選Minecraft？人群即漏洞

這不是隨機撒網(wǎng)。Minecraft的全球玩家基數(shù)超過1.4億，其中相當一部分是未成年人或年輕成年人——正是最愿意為了"游戲體驗"冒險下載來路不明軟件的人群。

攻擊者深諳此道。"Slinky"這個名字本身就是在模仿游戲內(nèi)道具的命名風格，圖標直接盜用官方資源，文件大小和正常作弊器無異。對于目標用戶來說，辨別真?zhèn)涡枰募夹g(shù)知識遠超其平均水平。

更關(guān)鍵的是心理賬戶：玩家對"作弊器"本身就有預期——它本來就要修改游戲內(nèi)存、繞過反作弊檢測，被殺毒軟件攔截是"正?，F(xiàn)象"。這種預設(shè)讓受害者主動關(guān)閉安全提示，親手放行惡意程序。

安全研究員在代碼中發(fā)現(xiàn)了硬編碼的巴西葡萄牙語字符串，結(jié)合C2服務器的地理位置，將攻擊歸因于LofyGang組織。該組織最早由Checkmarx在2022年10月追蹤曝光，當時主要通過NPM軟件包注冊表發(fā)起JavaScript供應鏈攻擊。兩年過去，他們的技術(shù)棧和商業(yè)模式都已升級。

惡意軟件即服務：犯罪也有SaaS化

LofyStealer的運作方式揭示了網(wǎng)絡(luò)犯罪產(chǎn)業(yè)化的一個切面。它并非單一攻擊工具，而是一個"惡意軟件即服務"（MaaS）平臺，通過網(wǎng)頁儀表盤向買家提供分級訂閱。

免費版功能受限，付費用戶則能解鎖完整套件：受害者管理面板、名為"Slinky Cracked"的自定義可執(zhí)行文件生成器，以及對被控機器的實時監(jiān)控。這種結(jié)構(gòu)讓技術(shù)能力有限的犯罪分子也能發(fā)起專業(yè)級攻擊，極大擴展了威脅覆蓋面。

C2面板的自我標識是"LofyStealer, Advanced C2 Platform V2.0"——版本號暗示這不是初版產(chǎn)品，而是經(jīng)過迭代優(yōu)化的成熟系統(tǒng)。從供應鏈投毒到游戲社交工程，從單一載荷到內(nèi)存注入+瀏覽器劫持，LofyGang的演進軌跡清晰可見。

這種"產(chǎn)品化"思維值得警惕。當網(wǎng)絡(luò)攻擊開始模仿正經(jīng)科技公司的運營方式——分層定價、持續(xù)迭代、降低使用門檻——防御方的壓力會指數(shù)級上升。你面對的不再是孤立的黑客，而是一個有組織、有反饋、有商業(yè)閉環(huán)的生態(tài)系統(tǒng)。

內(nèi)存注入：殺毒軟件的盲區(qū)

這次攻擊的技術(shù)亮點在于chromelevator.exe的投遞方式。傳統(tǒng)惡意軟件要么落地為文件再執(zhí)行，要么利用漏洞直接運行，都會留下可被檢測的痕跡。LofyStealer選擇了一條更隱蔽的路徑：進程空洞化（Process Hollowing）的變體操作。

具體而言，加載器先以掛起狀態(tài)創(chuàng)建合法瀏覽器進程，此時進程已分配內(nèi)存空間但尚未加載實際代碼。然后它卸載原始映像，將惡意載荷映射到同一內(nèi)存區(qū)域，最后恢復進程執(zhí)行。從操作系統(tǒng)視角看，這是一個正常的瀏覽器進程；從內(nèi)存掃描視角看，載荷從未以獨立文件形式存在。

這種技術(shù)并非LofyGang首創(chuàng)，但將其與游戲作弊場景結(jié)合、針對瀏覽器這一高價值目標進行優(yōu)化，體現(xiàn)了攻擊設(shè)計的針對性。瀏覽器內(nèi)存中存儲著大量敏感憑證：自動填充的密碼、保持登錄狀態(tài)的Cookie、甚至未關(guān)閉的網(wǎng)銀標簽頁。直接在里面"翻找"，比鍵盤記錄或屏幕截圖高效得多。

對于終端防護產(chǎn)品而言，這類攻擊構(gòu)成了持續(xù)挑戰(zhàn)?；谖募灻臋z測完全失效，行為分析需要區(qū)分"瀏覽器正常讀寫配置"和"惡意代碼遍歷憑證存儲"的細微差別，內(nèi)存掃描則面臨性能與覆蓋率的權(quán)衡。LofyStealer的設(shè)計顯然研究過這些防御機制的弱點。

玩家社區(qū)的信任危機

事件暴露了一個長期存在的安全灰色地帶：游戲模組和輔助工具的分發(fā)生態(tài)。Minecraft的開放性造就了繁榮的第三方內(nèi)容市場，但也成為惡意軟件的溫床。官方啟動器、CurseForge等主流平臺有一定審核機制，但更多工具通過Discord服務器、私人網(wǎng)站、網(wǎng)盤鏈接流通，沒有任何安全把關(guān)。

"Slinky"的傳播路徑尚未完全公開，但類似攻擊通常依賴視頻平臺引流——YouTube或TikTok上的"免費作弊器教程"附帶下載鏈接，評論區(qū)還有托兒反饋"親測有效"。這種閉環(huán)利用了平臺算法的推薦機制和社區(qū)文化的封閉性：愿意搜索作弊器的用戶，本身就在主動尋找繞過規(guī)則的方法，對"官方渠道"的信任度較低。

更值得深思的是代際差異。年輕玩家成長于數(shù)字原生環(huán)境，對技術(shù)風險的感知卻未必同步。他們可能熟練操作復雜模組安裝流程，卻不理解"以管理員權(quán)限運行未知程序"意味著什么；他們可能在意賬號被盜的游戲內(nèi)損失，卻低估瀏覽器憑證泄露對現(xiàn)實財務的威脅。攻擊者精準利用了這種認知落差。

防御建議：在誘惑面前設(shè)卡

對于普通玩家，最實際的防護是切斷攻擊鏈的第一環(huán)。任何要求關(guān)閉殺毒軟件、以管理員權(quán)限運行、或從非官方渠道下載的"游戲輔助"，都應視為高風險操作。Minecraft官方及主流平臺（如CurseForge、Modrinth）的審核雖非萬無一失，但比隨機鏈接可靠數(shù)個數(shù)量級。

瀏覽器層面的緩解措施包括：對敏感網(wǎng)站啟用雙重認證（2FA），這樣即使密碼被盜，攻擊者也無法直接登錄；使用密碼管理器的自動填充而非瀏覽器內(nèi)置保存功能，減少內(nèi)存中明文憑證的暴露面；定期檢查活躍會話并清理不再使用的設(shè)備授權(quán)。

企業(yè)安全團隊則需關(guān)注這類攻擊的橫向移動潛力。個人游戲電腦與工作環(huán)境的安全邊界日益模糊，同一臺機器可能既登錄Steam賬號，也訪問公司VPN。MaaS平臺的普及意味著針對性攻擊的成本持續(xù)下降，"低價值目標"的劃分標準需要重新評估。

數(shù)據(jù)收束

這場攻擊的完整畫像：8款瀏覽器被針對性覆蓋，5類敏感數(shù)據(jù)成為收割目標，1個巴西IP地址暴露攻擊源頭，2個技術(shù)階段實現(xiàn)無文件落地，2級訂閱模式支撐犯罪商業(yè)化——免費版引流，高級版解鎖完整 victim 管理面板和實時監(jiān)控。

從2022年的NPM供應鏈攻擊到今天的游戲社交工程，LofyGang的演進說明：網(wǎng)絡(luò)犯罪的"產(chǎn)品創(chuàng)新"從未停止。他們研究用戶心理、優(yōu)化技術(shù)路徑、迭代商業(yè)模式，其專業(yè)度不亞于任何一家SaaS創(chuàng)業(yè)公司。而防御方的挑戰(zhàn)在于，我們既要保護用戶免于技術(shù)漏洞，也要幫助他們識破精心設(shè)計的誘惑——后者往往更難。