Jeśli ostatnio instalowałeś mod Fabric z linku znalezionego pod filmem na YouTube, sprawdź dwa razy, skąd pochodzi plik. Badacze z zespołu DarkAtlas opisali rozległą kampanię, w której fałszywe mody i klienty rozsiewają złośliwy loader o nazwie LoaderClient, będący częścią większej operacji WeedHack.

Jak działa atak

Schemat jest prosty i skuteczny. Atakujący publikują filmy-przynęty na YouTube oraz spreparowane strony pobierania wypozycjonowane w wyszukiwarce (tzw. SEO poisoning), a w opisach umieszczają linki do plików .jar udających znane mody i klienty. Pod podróbki podszywane są między innymi Meteor, Radium, Wurst i LiquidBounce. Złośliwy JAR wygląda jak zwykły mod Fabric i uruchamia się dopiero w momencie startu Minecrafta.

Co kradnie LoaderClient

Najgroźniejsze jest to, co dzieje się po uruchomieniu gry. LoaderClient odczytuje z obiektu sesji nazwę gracza, UUID konta oraz aktywny token dostępu Microsoft OAuth. To nie jest hasło - to żywy token zalogowanej sesji, dlatego napastnik może przejąć konto bez znajomości hasła i bez omijania weryfikacji dwuetapowej (2FA). Wystarczy podstawić skradziony token, by zalogować się jako ofiara.

Szerszy stealer WeedHack idzie znacznie dalej. Według analiz potrafi wykraść hasła i ciasteczka z 36 przeglądarek, dane z 56 portfeli kryptowalut działających w przeglądarce i 12 portfeli desktopowych, a także poświadczenia do Discorda, Steama i Telegrama. Płatne warianty dokładają keylogger, dostęp do kamery, zdalny pulpit i powłokę zwrotną.

Skala i model "malware jako usługa"

WeedHack działa w modelu MaaS (malware-as-a-service): wersja podstawowa jest darmowa, a płatne plany startują od 5 dolarów miesięcznie. Kampania trwa co najmniej od stycznia 2026 roku i wyrosła z prywatnego stealera o nazwie Majanito. Do czerwca 2026 powiązano z nią ponad 116 tysięcy zainfekowanych systemów, ponad 3820 złośliwych plików JAR i ponad 240 adresów dystrybucyjnych, a dziennie przybywa od 2 do 3 tysięcy nowych ofiar.

Operatorzy utrudniają też namierzenie infrastruktury. Adres serwera C2 pobierany jest z kontraktu smart na Ethereum (technika EtherHiding), weryfikowany podpisem RSA, a kolejny etap ataku wykonuje się w pamięci, bez zapisywania na dysk. Dzięki temu blokady domen są mało skuteczne.

Jak się chronić

  • Pobieraj mody wyłącznie z zaufanych źródeł, takich jak Modrinth i CurseForge - nigdy z linków w opisach YouTube ani z przypadkowych stron.
  • Traktuj uruchamianie niepodpisanych modów i "cheatów" jako działanie wysokiego ryzyka.
  • Jeśli podejrzewasz infekcję, jak najszybciej zmień hasło do konta Microsoft - to unieważnia aktywne sesje i tokeny - a następnie przeskanuj komputer programem antywirusowym.
  • Włącz 2FA na koncie Microsoft. Nie zatrzyma ono kradzieży żywego tokenu, ale chroni przed klasycznymi próbami logowania.

Na osłodę: czerwcowa aktualizacja CurseForge

W tym samym tygodniu CurseForge udostępnił czerwcową aktualizację aplikacji, a dwie najważniejsze zmiany ułatwią życie fanom modów. Po pierwsze, podgląd zawartości modpacka - pełną zakładkę z modami, paczkami zasobów i shaderami można teraz obejrzeć przed pobraniem, bez instalowania setek modów w ciemno. Po drugie, indywidualna wersja Javy na paczkę: autor może przypisać konkretną wersję Javy do profilu, a ustawienie podróżuje razem z modpackiem przy eksporcie i imporcie. Doszły też zakładka Ulubione, szybszy start aplikacji oraz przełącznik modelu skórki (klasyczny lub smukły).

Źródło: GBHackers, CurseForge. Porady dotyczące bezpieczeństwa konta: Minecraft Help.