С января 2026 года кампания WeedHack Minecraft заразила более 116 тысяч систем через вредоносные моды, клиенты, читы и игровые утилиты. История важна не только для геймеров: перед нами уже не разовая разводка, а бесплатный конструктор инфостилера с панелью управления, удаленным доступом и вполне промышленным масштабом распространения.
По данным BleepingComputer, кампания нацелена на аудиторию Minecraft и в среднем приносит операторам от 2 до 3 тысяч новых заражений в день. Телеметрия McAfee оценивает общее число пострадавших в 116 464 системы. Больше всего жертв находится в США, Германии, Индии и Великобритании. Для распространения злоумышленники использовали более 240 URL-адресов и 3820 уникальных вредоносных JAR-файлов. Это уже не история про один «левый мод», который скачали по ошибке, а конвейер, где под каждый поисковый запрос и каждую версию клиента находится свой файл с сюрпризом.
Схема доставки у WeedHack довольно приземленная, а потому и эффективная. Основные каналы два: YouTube и SEO-отравление поисковой выдачи. В YouTube злоумышленники публикуют ролики, где показывают якобы полезные инструменты для Minecraft, а ссылки на скачивание оставляют в описании и комментариях. Некоторые видео сделаны достаточно аккуратно, с закадровым голосом и нормальной подачей, и успели набрать более 7500 просмотров. В поиске ставка делается на популярные запросы вокруг клиентских сборок и читов, включая Meteor Client, Radium Client, Wurst Client, Aristois, LiquidBounce, Impact Client, Future Client, Inertia Client, Cornos Client, WWE Client, 3arthh4ck, Salhack, Phobos и Gamesense. Логика понятна: если вокруг проекта нет нормального сайта и вся официальная жизнь идет в GitHub и Discord, подделать «почти официальный» лендинг заметно проще.
Один из примеров, который приводит McAfee, хорошо показывает уровень социальной инженерии. Вредоносный сайт размещает предупреждение, что загружать Skytils нужно только с официального источника, и даже указывает на настоящий GitHub-репозиторий и Discord-сервер проекта. То есть пользователя обманывают не лобовой подделкой, а имитацией добросовестности. Сайт как бы говорит: мы тоже против фейков, скачивайте безопасно. После такого многие перестают проверять детали. Для open source- и community-проектов это неприятный сигнал: отсутствие внятного официального домена, подписанных релизов и понятной страницы загрузки превращается в подарок для тех, кто умеет делать SEO-страницы и притворяться заботливыми администраторами.
Сам WeedHack устроен как malware-as-a-service, причем с нетипично низким порогом входа. Платформа работает в обычном интернете, а базовый доступ к ней выдается бесплатно. Пользователь получает дашборд со списком жертв, профилями зараженных машин, украденными данными и билдeром полезной нагрузки для версий Minecraft с 1.21.0 по 1.21.10. Бесплатная версия охотится не только за игровой сессией Minecraft. Она крадет cookies, сохраненные пароли из 36 браузеров, данные 56 криптовалютных расширений, 12 настольных криптокошельков, а также учетные данные Discord, Steam и Telegram. Плюс умеет делать скриншоты. Платная подписка стоит 5 долларов в месяц или 24,99 доллара единоразово за пожизненный доступ и добавляет уже полноценный удаленный контроль: управление мышью и клавиатурой, доступ к веб-камере, кейлоггер, удаленную оболочку и файловый менеджер. По сути, это эволюция школьного трояна в сторону сервиса с прайсингом, UX и апселлом.
Есть и неприятная социальная деталь. По оценке McAfee, Telegram-канал проекта собрал более 800 участников, а значительная часть клиентов WeedHack, похоже, подростки или молодые пользователи, которые используют функции удаленного доступа не столько для монетизации, сколько для банального издевательства над жертвами. Это важный маркер для защитников: далеко не каждая вредоносная активность упирается в организованную финансовую группу. Иногда угрозу масштабирует низкая цена входа, понятный интерфейс и субкультура, в которой захват чужого аккаунта или компьютера воспринимается как «прикол». С точки зрения бизнеса разницы, впрочем, немного: украденные браузерные сессии, пароли, токены мессенджеров и криптокошельки одинаково плохо заканчиваются и для домашнего ПК, и для рабочего ноутбука, на котором кто-то вечером решил поставить очередной мод-пак.
Для русскоязычной IT-аудитории у этой истории как минимум три практических вывода. Первый: Java-архивы по-прежнему остаются отличным контейнером для вредоносной нагрузки, если пользователь привык запускать JAR-файлы без внятной верификации источника. Второй: доверие к GitHub-экосистеме само по себе ничего не гарантирует, особенно когда проект живет без официального сайта и централизованной схемы релизов. Третий: граница между игровой и рабочей средой давно стерлась. У разработчика, тестировщика или джуна на одной машине могут мирно соседствовать IDE, корпоративный Telegram, Discord, браузер с рабочими cookies и пара игровых клиентов. Для инфостилера это идеальный ассортимент. Поэтому рекомендации здесь довольно скучные, но рабочие: брать моды только из официальных источников проекта, перепроверять домен и канал распространения, не доверять JAR-файлам с сомнительных сайтов и по возможности отделять игровые эксперименты от машины, где живут рабочие сессии и личные кошельки.
WeedHack Minecraft показывает неприятный, но уже устойчивый тренд: вредоносное ПО все чаще упаковывают не в «хакерский инструмент», а в привычный объект цифрового быта, который пользователь и так ищет сам. Пока у сообществ вокруг модов, клиентов и читов нет нормальной гигиены дистрибуции, рынок будет получать все новые версии таких кампаний, где главная уязвимость находится не в Minecraft, а в доверчивой цепочке «поиск, видео, ссылка, запуск».