Une menace d'envergure pèse sur la communauté de Minecraft. Des chercheurs en cybersécurité de Check Point Research ont mis au jour une campagne malveillante et sophistiquée qui est orchestrée depuis mars 2025. Elle prend pour cible les très nombreux joueurs du célèbre jeu de construction.
En se dissimulant derrière de faux mods et outils de triche populaires comme Oringo ou Taunahi, des cybercriminels parviennent à infecter les ordinateurs des victimes pour y dérober des informations sensibles.
L'opération s'appuie sur un réseau de distribution de logiciels malveillants connu sous le nom de « Stargazers Ghost Network » et actif sur GitHub.
Une chaîne d'infection en plusieurs étapes
L'attaque se déroule en trois phases. Tout commence par le téléchargement d'un mod en apparence légitime depuis un dépôt GitHub. Une fois le jeu lancé avec le mod malveillant, un premier script Java s'active.
Il effectue d'abord une vérification pour s'assurer qu'il ne s'exécute pas dans un environnement virtuel, une technique classique pour déjouer les analyses des experts en sécurité. Si l'environnement semble normal, il passe à l'étape suivante.
Le mod télécharge alors un second composant, également en Java, dont le rôle est de voler les premières données, comme les jetons d'authentification de Discord, Telegram et du lanceur Minecraft lui-même. Ce n'est qu'après qu'intervient le téléchargement du malware final.
Mots de passe, crypto, comptes : le butin des pirates
Le troisième et dernier maillon de la chaîne est un voleur d'informations (infostealer) bien plus puissant et baptisé « 44 CALIBER ». Son champ d'action est particulièrement large.
Il est capable de siphonner les informations d'identification stockées dans les navigateurs web, les données de clients VPN et les fichiers sensibles présents sur le bureau ou dans les documents de l'utilisateur.
Les portefeuilles de cryptomonnaies sont directement visés, tout comme les comptes de plateformes de jeu et de communication telles que Steam, Discord et Telegram. Le logiciel peut aussi réaliser des captures d'écran et collecter des informations détaillées sur le système.
Toutes les données volées sont ensuite regroupées et exfiltrées discrètement via des webhooks Discord. Une méthode qui permet de noyer le trafic malveillant au milieu des communications légitimes.
Dans l'ombre, un réseau fantôme et des acteurs russophones
Derrière cette campagne se cache le réseau « Stargazers Ghost Network », une sorte de service de distribution de malwares à la demande. Ce réseau utilise des centaines de comptes GitHub pour créer et promouvoir de faux dépôts, leur donnant une apparence légitime.
Bien que l'identité précise des opérateurs reste floue, plusieurs indices, comme des commentaires en russe dans le code et une activité correspondant au fuseau horaire UTC+3, suggèrent une origine russophone. À ce jour, il est estimé que plus de 1 500 appareils ont été compromis.
Dans un billet de blog technique, Check Point publie des indicateurs de compromission.