De faux mods Minecraft découverts sur GitHub volent les données des joueurs

Selon les récentes conclusions de Check Point Research (CPR), une nouvelle campagne de logiciels malveillants cible les joueurs de Minecraft via le téléchargement de faux mods. Partagés sur GitHub et déguisés en mods de triche Minecraft populaires, ces fichiers sont porteurs d'une infection multi-couches capable de voler tout, des mots de passe enregistrés aux cryptomonnaies.

La campagne, lancée en mars 2025, ciblait les joueurs actifs utilisant des mods pour améliorer leur expérience de jeu. Des mods comme Oringo et Taunahi, bien connus dans la communauté des tricheurs de Minecraft, ont été imités pour attirer les téléchargements. Mais au lieu de fonctionnalités supplémentaires, ces fichiers ont installé des logiciels malveillants en trois étapes.

Selon le billet de blog de CPR, un téléchargeur Java a d'abord été utilisé. Après avoir confirmé que l'utilisateur utilisait Minecraft et non un environnement sandbox ou virtuel, il a lancé le téléchargement d'un voleur de deuxième niveau qui a récupéré les identifiants de connexion et d'autres fichiers sensibles.

La dernière charge utile, un logiciel espion plus avancé, a creusé encore plus profondément. Il a analysé les données de Discord, Steam, Telegram, des navigateurs web et des portefeuilles de cryptomonnaies . Il pouvait également prendre des captures d'écran et collecter des informations techniques sur la machine infectée. Les données volées lors de cette campagne étaient ensuite diffusées via Discord, rendant l'exfiltration difficile à détecter.

Des indices issus du code malveillant, notamment des commentaires en russe et des schémas d'activité basés sur UTC+3, pointent vers un acteur malveillant russophone. L'opération était liée à un groupe de Check Point appelé Stargazers Ghost Network, un système de diffusion de logiciels malveillants utilisant un modèle de distribution en tant que service. Ce même système avait déjà été observé en juillet 2024, diffusant des logiciels malveillants via plus de 3 000 faux comptes GitHub.

Dans la dernière arnaque Minecraft, les recherches du CPR ont également permis de suivre la campagne sur plusieurs dépôts GitHub, chacun se faisant passer pour des outils de mods légitimes. Cela a permis au malware de gagner en visibilité tout en évitant les soupçons immédiats. D'après une analyse du trafic interne, les chercheurs estiment qu'au moins 1 500 appareils pourraient avoir été compromis à ce jour.

La popularité mondiale de Minecraft en fait une cible de choix pour ce type d'attaques. Avec plus de 200 millions d'utilisateurs actifs mensuels et plus d'un million de moddeurs, le jeu a développé une vaste infrastructure de contenu créé par ses utilisateurs. De nombreux joueurs sont jeunes et peuvent ne pas être bien préparés à repérer les faux téléchargements, surtout lorsqu'ils sont présentés comme des outils d'amélioration des performances ou des astuces.

La communauté des moddeurs prospère grâce au partage ouvert, mais cette ouverture est devenue une vulnérabilité. Les attaquants parient que les utilisateurs ne vérifieront pas l'origine d'un mod s'il leur semble familier.

C'est pourquoi en octobre 2021, Minecraft a été identifié commele jeu le plus infecté par des logiciels malveillants après que les chercheurs ont trouvé 44 335 appareils compromis et plus de 300 000 cas de logiciels malveillants ciblant ses joueurs.

Cette attaque illustre une fois de plus comment des plateformes en ligne familières, notamment celles utilisées par les jeunes, se transforment en canaux de distribution de logiciels malveillants. Si vous jouez à Minecraft ou si vous êtes parent d'un joueur, c'est le moment de vérifier vos appareils et vos habitudes :

• Tenez-vous-en aux mods provenant de plateformes connues et vérifiées.
• Assurez-vous que vos mises à jour antivirus et de sécurité sont à jour.
• Évitez tout mod prétendant proposer des hacks, des astuces ou des automatisations.
• Surveillez les comptes liés à Discord, aux plateformes de jeu ou aux portefeuilles cryptographiques pour détecter toute activité suspecte.