Une nouvelle menace pour les joueurs de Minecraft est en cours, impliquant des attaques sophistiquées via des modpacks malveillants sur GitHub. Un réseau criminel dénommé Stargazers Ghost Network cible les utilisateurs, exposant des informations sensibles grâce à des outils déguisés en mods légitimes. Les chercheurs continuent de suivre cette campagne.
Des centaines de dépôts GitHub proposant des mods pour Minecraft sont désormais le théâtre d’une campagne sophistiquée de malware, visant la vaste communauté de joueurs créatifs. Au cœur de cette opération se trouve le réseau criminel Stargazers Ghost, une infrastructure élaborée mise au jour par Check Point Research.
Contrairement aux campagnes de malware habituelles, le Stargazers Ghost Network est une opération de distribution de services qui utilise des milliers de faux comptes GitHub pour diffuser des logiciels malveillants déguisés en mods et outils de triche légitimes. Cette opération tire parti de la plateforme fiable de GitHub pour distribuer des archives Java malveillantes, contournant les détections tout en compromettant plus de 1 500 appareils depuis mars 2025.
Les attaques commencent lorsque les joueurs installent des mods contrefaits, souvent en quête d’avantages dans le jeu. Ces fichiers JAR, conçus comme des mods pour Minecraft Forge, s’activent uniquement au lancement du jeu, déployant immédiatement des défenses anti-analyse. Le chargeur vérifie la présence de machines virtuelles, d’outils de sécurité comme Wireshark et de moniteurs réseau, mettant fin à son processus s’il est détecté afin d’éviter les environnements virtuels d’analyse.
Après avoir passé ces vérifications, le malware récupère une URL encodée en Base64 sur Pastebin qui dirige vers un voleur de Java de deuxième étape hébergé sur des adresses IP contrôlées par les attaquants. Cette charge utile intermédiaire cible spécifiquement les jetons d’authentification provenant des lanceurs officiels et tiers de Minecraft, tout en collectant simultanément des données de session de Discord et Telegram. Les identifiants volés sont transmis via des requêtes HTTP POST aux serveurs de commandement et de contrôle.
L’infection s’intensifie lorsque ce voleur télécharge et exécute « 44 CALIBER », une charge utile finale basée sur .NET. Identifié dans ses métadonnées d’assemblage et comportant des messages de copyright en russe tel que « F*ckTheSystem Copyright © 2021 », ce voleur avancé cible les identifiants de navigateur, les portefeuilles de cryptomonnaie, les configurations VPN et les fichiers stockés sur le Bureau et dans les dossiers Documents. Il capture des captures d’écran, le contenu du presse-papiers et les métadonnées système avant d’exfiltrer toutes les informations via des webhooks Discord.
Des éléments de preuve indiquent que des opérateurs russophones sont derrière le Stargazers Ghost Network, avec des horodatages UTC+3 sur des engagements malveillants, des commentaires en russe intégrés dans le code, et des noms de paquets faisant référence au lac Baïkal en Sibérie, appuyant cette conclusion.
De faux « étoiles » d’environ 70 comptes font apparaître des mods malveillants comme légitimes, tandis que les compteurs de visites sur Pastebin suggèrent au moins 1 500 infections réussies. Motivé par des gains financiers, le groupe a reportedly gagné jusqu’à 8 000 € par mois, avec des profits totaux pouvant atteindre 100 000 €.
La base de joueurs de Minecraft, comptant plus de 200 millions d’utilisateurs mensuels, dont la majorité a moins de 21 ans, représente une cible de choix. Les jeunes joueurs cherchant des améliorations non officielles négligent souvent les risques de sécurité, tandis que la base Java du malware lui permet d’échapper aux scans antivirus traditionnels.
Alors que de nouveaux dépôts émergent chaque jour, les experts exhortent les joueurs à ne télécharger des mods que sur des plateformes vérifiées telles que CurseForge. Check Point Research continue de surveiller le Stargazers Ghost Network, avec des enquêtes en cours révélant de nouveaux vecteurs d’infection.