Wyobraź sobie: szukasz przyjaznego serwera Minecraft, bez grieferingu, z ochroną claimami i miłą społecznością. Trafiasz na SugarSMP — ładna strona, aktywny Discord, filmy na YouTube, recenzje na listach serwerów. Pobierasz wymagany modpack, włączasz grę… i właśnie zainstalowałeś trojana, który kradnie Twoje hasła, tokeny Discorda, portfel kryptowalutowy i dane z przeglądarki. A potem dostajesz żądanie 300 dolarów okupu.

To nie scenariusz z filmu. To realna kampania malware, którą w marcu 2026 roku szczegółowo opisała firma bezpieczeństwa G DATA.

Jak działa atak SugarSMP?

SugarSMP reklamuje się jako serwer Fabric 1.21.4 z własnym modpackiem. Żeby wejść na serwer, musisz pobrać paczkę modów ze strony sugarsmp.com. Problem w tym, że ta paczka zawiera zmodyfikowaną wersję popularnego moda AppleSkin — tego samego, który miliony graczy używają do wyświetlania statystyk jedzenia.

Atakujący wzięli oryginalny plik appleskin-fabric-mc1.21.3-3.0.6.jar i wstrzyknęli złośliwy kod do klasy DebugInfoHandler.class. Mod działa normalnie — pokazuje saturo i głód jak zawsze — ale w tle, na wątku o niskim priorytecie, uruchamia się malware. Gracz nie widzi niczego podejrzanego.

Paczka modów wykorzystuje folder overrides z formatu CurseForge, który kopiuje pliki bezpośrednio do katalogu gry bez żadnej weryfikacji. To legityma funkcja modpacki — ale w tym przypadku służy do dystrybucji malware’u.

Co kradnie Spark Stealer?

Malware nosi nazwę Spark Stealer (od pakietu org.spark w kodzie). To w pełni funkcjonalny program do kradzieży danych, który zbiera:

  • Tokeny Discorda — w tym dane płatności przypisane do konta
  • Hasła z przeglądarek — zarówno Chromium (Chrome, Edge, Brave), jak i Firefox/Gecko
  • Sesje Telegrama — pliki sesji z Telegram Desktop
  • Dane logowania Steam
  • Portfele kryptowalutowe — zarówno rozszerzenia przeglądarkowe, jak i lokalne portfele
  • Ciasteczka i dane sesji z TikToka i Robloxa
  • Zrzuty ekranu i informacje systemowe — system operacyjny, IP, antywirus, HWID

Spark Stealer zawiera też skaner słów kluczowych, który przeszukuje skradzione dane pod kątem dorosłych stron i platform deweloperskich (GitHub, Replit, Cloudflare). Cel jest jasny: znaleźć materiały, którymi można ofiarę szantażować.

Iniekcja do Discorda

Malware robi jeszcze jedną paskudną rzecz: wstrzykuje kod JavaScript do pliku discord_desktop_core/index.js w kliencie Discord. Ta iniekcja przechwytuje logowanie, kody 2FA, listę znajomych i wszystkie wychodzące żądania. Działa do momentu pełnej reinstalacji Discorda.

Trzy warstwy utrzymania dostępu

Spark Stealer zabezpiecza się na trzy sposoby:

  1. Przez moda — malware uruchamia się za każdym razem, gdy Minecraft ładuje zainfekowany mod
  2. Przez Discorda — iniekcja JS przeżywa restarty aplikacji
  3. Przez system — tworzy zaplanowane zadanie Windows o nazwie „ExplorerStartup”, które uruchamia FileExplorer.jar z katalogu AppData

Szantaż za 300 dolarów

Co najmniej jedna ofiara zgłosiła, że po infekcji otrzymała żądanie 300 dolarów okupu. Atakujący udowodnili dostęp do danych, pokazując skradzione hasła i zdjęcia z iCloud. Twierdzili też, że mają stały dostęp do laptopa ofiary.

To zmienia charakter ataku z typowej kradzieży danych na aktywne wymuszenie. Gracz, który myślał, że po prostu pobiera mody do Minecrafta, staje się ofiarą szantażu.

Manipulacja społeczna na profesjonalnym poziomie

SugarSMP to nie amatorska operacja. Atakujący zbudowali pełną fasadę legalnego serwera:

  • Fałszywe statystyki graczy — serwer stale pokazuje 35-45 graczy online, ale bez naturalnych fluktuacji (boty)
  • Treści wideo — livestreamy na YouTube, filmy społeczności, FAQ, strona staffów
  • Manipulacja recenzjami — na listach serwerów Minecraft SugarSMP ma pozytywne opinie
  • Cenzura ostrzeżeń — atakujący przejęli konto długoletniego użytkownika Reddita (aktywne od prawie dekady) i użyli go do składania żądań usunięcia ostrzeżeń z subredditów

Badacze G DATA odkryli około 50 dodatkowych fałszywych serwerów używających podobnego brandingu — nazwy typu bunnycraft, kittycraft, sanriocraft. Większość z nich dystrybuowała złośliwe oprogramowanie oparte na Electron/JavaScript zamiast Javy.

Co zrobić, jeśli pobrałeś modpack z SugarSMP?

Jeśli w jakimkolwiek momencie pobrałeś i uruchomiłeś paczkę modów z SugarSMP lub podobnego serwera, zrób to natychmiast:

  1. Zmień hasła — do wszystkich kont, których dane logowania były zapisane w przeglądarce
  2. Reinstaluj Discorda — pełna reinstalacja, nie tylko aktualizacja
  3. Usuń zaplanowane zadanie — sprawdź Harmonogram zadań Windows pod kątem wpisów uruchamiających pliki .jar
  4. Wygeneruj nowe kody 2FA — dla Discorda i każdej usługi, która używa uwierzytelniania dwuskładnikowego
  5. Przenieś kryptowaluty — na nowy portfel, nie używaj starego seed phrase
  6. Przeskanuj komputer — aktualnym programem antywirusowym

Jak się chronić przed tego typu atakami?

Kilka zasad, które minimalizują ryzyko:

  • Pobieraj mody tylko z zaufanych źródeł — Modrinth i CurseForge to dwa główne repozytoria z pewnym poziomem weryfikacji. Strony serwerów, które wymagają pobrania własnych modpacków spoza tych platform — to czerwona flaga.
  • Sprawdź sumy kontrolne — jeśli mod twierdzi, że to AppleSkin 3.0.6, a plik ma inną sumę SHA-256 niż oryginał na Modrinth — jest zmodyfikowany.
  • Nie ufaj statystykom graczy — stała liczba graczy online bez dziennych wahań to sygnał, że coś jest nie tak.
  • Korzystaj z poradników bezpieczeństwa na minecraft.pl — regularnie publikujemy informacje o zagrożeniach.

SugarSMP to najbardziej wyrafinowana kampania malware wymierzona w graczy Minecraft, jaką widzieliśmy w 2026 roku. Profesjonalna fasada, trojaned mody, kradzież danych i szantaż — wszystko w jednym pakiecie. Bądź ostrożny, skąd pobierasz mody. Jeśli coś wygląda za dobrze, żeby było prawdziwe — prawdopodobnie takie nie jest.