Avec plus de 300 millions d’exemplaires vendus et plus de 200 millions de joueurs actifs mensuels, Minecraft est l’un des jeux vidéo les plus populaires de tous les temps. Une partie de son attrait réside dans la possibilité de personnaliser et d’améliorer le jeu grâce aux mods, des outils créés par les utilisateurs pour améliorer le gameplay, corriger des bugs et ajouter de nouveaux contenus. On estime que plus d’un million de joueurs modifient activement Minecraft, formant une communauté dynamique et créative. Tribune CheckPoint.
- Des mods malveillants de Minecraft découverts : Check Point Research (CPR) a découvert une campagne de malware en plusieurs étapes dans laquelle le malware lui-même était intégré dans de faux mods de Minecraft, partagés sur GitHub afin de cibler spécifiquement les joueurs actifs.
- Une chaîne d’infection en trois étapes : L’attaque implique un programme de téléchargement Java, un stealer de deuxième étape, et enfin un stealer avancé qui récupère les mots de passe, portefeuilles crypto et autres données sensibles.
- Un acteur de la menace russophone probablement impliqué : Des commentaires en langue russe et un comportement aligné sur le fuseau horaire UTC+3 suggèrent que le malware a été développé par un attaquant russophone.
Mais là où il y a de la popularité, les cybercriminels voient des opportunités. Avec environ 65% de la base de joueurs de Minecraft ayant moins de 21 ans, la plateforme constitue une cible attrayante pour les cybercriminels cherchant à exploiter un public large, engagé et souvent peu protégé.
En mars 2025, Check Point Research (CPR) a commencé à suivre une campagne malveillante ciblant les joueurs de Minecraft via un réseau connu sous le nom de Stargazers Ghost Network. Identifié pour la première fois par CPR en juillet 2024, ce réseau opère selon un modèle de distribution en tant que service (DaaS), exploitant plusieurs comptes GitHub pour diffuser à grande échelle des liens malveillants et des malwares.
Le réseau a déployé une attaque en plusieurs étapes conçue pour infecter discrètement les machines des utilisateurs, se faisant passer pour des mods populaires comme Oringo et Taunahi, tous deux connus dans la communauté comme des outils de triche. Le malware a été développé en plusieurs étapes. Les deux premières étaient écrites en Java et nécessitaient que Minecraft soit pré-installé sur l’appareil de la victime, permettant aux attaquants de cibler un groupe vulnérable spécifique : les joueurs actifs de Minecraft.
Une menace cachée déguisée en mods Minecraft
Depuis mars 2025, CPR suit des répertoires GitHub malveillants semblant proposer des mods pour Minecraft. En surface, ces fichiers paraissent légitimes, visant les joueurs à la recherche de nouveaux outils et améliorations. En réalité, ils contiennent un programme de téléchargement basé sur Java, un petit malware conçu pour installer discrètement des logiciels malveillants supplémentaires sur l’appareil de la victime.
Pour augmenter leurs chances d’être téléchargés et installés, les fichiers imitent des outils de triche et d’automatisation populaires dans la communauté Minecraft. Cela permet au malware de se fondre parmi les mods légitimes, rendant sa détection difficile pour les utilisateurs et de nombreuses solutions de sécurité.
Peu d’informations sont disponibles sur l’acteur de la menace derrière cette campagne. Toutefois, son activité semble correspondre au fuseau horaire UTC+3, et certains fichiers contiennent des commentaires en russe, suggérant une origine russophone.
Comment fonctionne l’attaque
L’infection débute lorsqu’un joueur télécharge le mod Minecraft apparemment anodin depuis GitHub. C’est la première étape d’une chaîne de malware en plusieurs phases. Une fois le jeu lancé, le mod vérifie s’il fonctionne dans un environnement virtuel, une méthode courante utilisée par les chercheurs en sécurité et les bacs à sable pour analyser les échantillons de malware. Si aucun environnement virtuel ou outil d’analyse n’est détecté, il passe à la phase suivante.
Le mod malveillant télécharge alors une charge utile de deuxième étape conçue pour voler des informations sensibles. Celle-ci est suivie par un troisième et dernier composant : un outil espion avancé capable de récupérer les identifiants de connexion des navigateurs web, des portefeuilles de cryptomonnaie, ainsi que des applications telles que Discord, Steam et Telegram. Il peut aussi capturer des captures d’écran et collecter des informations détaillées sur le système infecté.
Les données volées sont discrètement empaquetées et exfiltrées via Discord, une tactique permettant de dissimuler l’activité parmi le trafic légitime. Sur la base des informations provenant de l’infrastructure de l’attaquant, CPR estime que plus de 1 500 appareils pourraient avoir été compromis à ce jour.
Conclusion : Quand les mods deviennent malveillants
Cette campagne nous rappelle que même les espaces numériques les plus familiers peuvent devenir un terrain de jeu pour les cybercriminels. En déguisant le malware en mods Minecraft, les attaquants ont pu cibler discrètement une base d’utilisateurs engagée et sans méfiance via une chaîne d’infection en plusieurs étapes basée sur Java. Parce que ces fichiers paraissent souvent inoffensifs et peuvent passer outre les défenses traditionnelles, tout joueur de Minecraft est potentiellement à risque.
Au fur et à mesure que les communautés de joueurs grandissent, elles attirent de plus en plus d’acteurs malveillants cherchant de nouvelles opportunités de profit. Cette recherche souligne l’importance de réfléchir à deux fois avant de télécharger du contenu tiers, même depuis des plateformes jugées fiables.
Conseils pour les utilisateurs et joueurs au quotidien :
- Ne téléchargez des mods que depuis des sources fiables et vérifiées.
- Soyez méfiants envers les outils promettant des triches, des hacks ou des fonctions d’automatisation.
- Maintenez votre antivirus et vos logiciels système à jour.
- Si quelque chose semble trop beau pour être vrai, c’est probablement le cas.
Pour en savoir plus sur les détails techniques de cette campagne, lisez le rapport complet
