Firmy zajmujące się cyberbezpieczeństwem, w tym McAfee, ostrzegają przed kampanią złośliwego oprogramowania nazwaną WeedHack, która żeruje na graczach Minecrafta szukających darmowych modów, cheatów i tzw. klientów PvP. Według danych przytaczanych przez BleepingComputer, od stycznia 2026 roku zainfekowanych zostało ponad 116 tysięcy systemów, a liczba nowych ofiar rośnie o 2-3 tysiące dziennie.
Jak działa kampania
WeedHack rozprzestrzenia się na kilka sposobów jednocześnie: przez filmy na YouTube z linkami do pobrania w opisie i komentarzach, przez pozycjonowanie fałszywych stron w wynikach wyszukiwania (SEO poisoning) oraz przez strony podszywające się pod znane, legalne projekty modderskie. Atakujący wykorzystują rozpoznawalne nazwy popularnych klientów PvP, takich jak Meteor Client, Wurst Client, LiquidBounce, Impact Client, Future Client czy Aristois, częściowo linkując nawet do prawdziwych repozytoriów na GitHubie i serwerów Discord, by uwiarygodnić fałszywe wersje.
Skala operacji jest spora - badacze naliczyli ponad 240 adresów dystrybucji i blisko 3820 unikalnych, złośliwych plików JAR podszywających się pod mody i moduły do gry.
Co dokładnie kradnie
Darmowa wersja złodzieja danych celuje w identyfikatory sesji Minecrafta, ciasteczka i zapisane hasła w 36 przeglądarkach, dane logowania do 56 rozszerzeń kryptowalutowych i 12 aplikacji portfeli desktopowych, a także dane dostępowe do Discorda, Steam i Telegrama, potrafi też robić zrzuty ekranu zainfekowanego komputera. Płatny wariant, kosztujący od 5 dolarów miesięcznie (lub 24,99 dolara dożywotnio), dorzuca zdalny dostęp do myszy i klawiatury, podgląd z kamerki, keylogger oraz zdalną powłokę z możliwością zarządzania plikami ofiary.
Kto stoi za operacją
WeedHack działa jako platforma malware-as-a-service dostępna w jawnym internecie, z panelem, w którym „klienci” mogą monitorować zainfekowane komputery i przeglądać wykradzione dane. Powiązany kanał na Telegramie liczy ponad 800 członków, a badacze zwracają uwagę, że znaczna część odbiorców i operatorów tego typu narzędzi to nastolatkowie i młodzi dorośli - dokładnie ta grupa wiekowa, która stanowi trzon społeczności Minecrafta.
Dlaczego to ważne dla polskich graczy
To już kolejna w tym roku kampania wymierzona w środowisko moderskie Minecrafta - minecraft.pl opisywał wcześniej sprawę fałszywego moda do Fabric o nazwie LoaderClient, kradnącego tokeny do kont. WeedHack pokazuje, że problem nie ogranicza się do pojedynczych, odosobnionych przypadków, lecz jest zorganizowanym, komercyjnym biznesem działającym na masową skalę, a Polska - obok USA, Niemiec i Indii - regularnie pojawia się wśród krajów najbardziej dotkniętych tego typu kampaniami wymierzonymi w graczy.
Jak się zabezpieczyć
- Pobieraj mody i kliencki wyłącznie z oficjalnych, zaufanych źródeł - CurseForge, Modrinth lub bezpośrednio od twórcy na jego oficjalnym repozytorium.
- Nie ufaj linkom z opisów filmów na YouTube ani z wyników wyszukiwania obiecujących „darmowe” wersje płatnych klientów.
- Zachowaj szczególną ostrożność wobec plików .jar i instalatorów pobranych spoza sprawdzonych platform.
- Włącz uwierzytelnianie dwuskładnikowe na koncie Microsoft/Minecraft, Discordzie i Steamie, by ograniczyć skutki ewentualnej kradzieży danych logowania.
Komentarze