McAfee Labs попереджає про WeedHack – кампанію malware-as-a-service, що маскується під Minecraft-моди, hacked clients, чіти та допоміжні утиліти. Практичний ризик простий: JAR-файл, який виглядає як ігрове доповнення, може вкрасти Minecraft-сесію, паролі з браузера, дані криптогаманців, токени Discord або Steam, а в платних збірках ще й дати зловмиснику віддалений доступ до ПК.
Це не одиничний зразок. За даними McAfee, WeedHack активний із січня 2026 року, має понад 3 820 унікальних шкідливих JAR-файлів і використовував понад 240 URL для поширення. Телеметрія дослідників показала 116 464 спрацювання, у середньому приблизно 2 000-3 000 нових на день. BleepingComputer допоміг виявити новину, але ключові факти взято з первинного звіту McAfee.
Кого це стосується
У зоні ризику – Windows-користувачі, батьки та гравці Minecraft, які шукали клієнти, моди, чіти, FPS booster, лаунчери або утиліти поза офіційними сторінками проєктів. McAfee пише, що кампанія просувається через YouTube-відео та SEO-отруєні сторінки, які імітують довірені сторінки модів. Деякі приманки навіть попереджають про фейкові завантаження й поруч посилаються на справжні GitHub або Discord, створюючи хибне відчуття безпеки.
| Ознака | Чому це важливо |
|---|---|
| Невідомий Minecraft JAR, клієнт або чіт із відео, коментаря чи пошуку | WeedHack поширюється через фейкові моди та клієнти, а не через звичайне оновлення гри. |
| Проблеми із Minecraft-сесією, Discord/Steam або попередженнями браузера | Безкоштовний рівень стілера краде session ID, cookies, збережені паролі, токени месенджерів і крипторозширень. |
| Ознаки доступу до webcam, shell, файлів або керування мишкою/клавіатурою | Платні рівні WeedHack, за даними McAfee, додають remote access, keylogger, webcam, shell і file management. |
Що перевірити спочатку
Якщо ви або дитина завантажували Minecraft JAR з опису відео, коментаря, файлообмінника або клону сторінки з пошуку, вважайте систему скомпрометованою, доки її не перевірено. Не запускайте файл повторно, щоб «подивитися, що це».
- Видаліть підозрілий JAR, лаунчер, клієнт і пов’язані файли з Minecraft mods folder та Downloads.
- Запустіть повне сканування. Gridinsoft Anti-Malware можна використати як другий погляд для перевірки підозрілих JAR, стілерів, автозапуску та залишків у браузері.
- З чистого пристрою змініть пароль Microsoft-акаунта, прив’язаного до Minecraft, і відкличте підозрілі сесії, якщо така опція доступна.
- Змініть паролі, збережені у браузері, потім перевірте Discord, Steam, Telegram, email і криптогаманці на нові входи або змінені recovery-налаштування.
- Якщо є ознаки віддаленого доступу, збережіть лише особисті файли, не копіюйте EXE/JAR/script-файли та розгляньте чисте перевстановлення Windows після відновлення акаунтів.
Для схожих сценаріїв перегляньте українські матеріали про Deno RAT у фейкових завантаженнях, Cryptbot під виглядом KMSPico та шахрайство з Robux, де теж використовується довіра до гри, утиліти або безкоштовної вигоди.
Чому JAR-моди ризиковані
У Minecraft: Java Edition велика екосистема модів, але Java-мод – це виконуваний код. Minecraft Help зазначає, що модинг Java Edition офіційно не підтримується Minecraft Support, тому користувач сам оцінює джерело та ланцюжок довіри. Справжня сторінка проєкту, довготривалий GitHub-репозиторій і відомий mod loader – кращі сигнали, ніж випадкова кнопка download на клонованому сайті.
Свіжий приклад тієї самої логіки ризику: Argamal RAT у троянізованих ігрових архівах, де розслідування описує шкідливий ZIP зі зміненим ffmpeg.dll, natives2_blob.bin і закріпленням у Windows.
Схожий ризик для ігрових завантажень: Millenium RAT v4 показує, як кряки, Roblox-related tools та інші “корисні” файли можуть привести до викрадення browser data й віддаленого доступу. Дивіться поточний огляд Millenium RAT для кроків після запуску підозрілого файлу.
FAQ
Чи небезпечні всі Minecraft-моди?
Ні. Проблема в недовірених JAR, фейкових клієнтах і клонованих сторінках модів. Завантажуйте з офіційних сторінок проєкту або відомих репозиторіїв і не довіряйте посиланням із коментарів до відео.
Чим WeedHack гірший за звичайний стілер?
McAfee описує WeedHack як платформу з dashboard, payload builder і платними функціями віддаленого доступу. Тобто навіть малодосвідчений зловмисник може красти дані й у деяких випадках взаємодіяти з комп’ютером жертви.
Чи достатньо видалити Minecraft-мод?
Ні, якщо JAR уже запускався. Потрібні сканування системи, зміна паролів із чистого пристрою, перевірка активних сесій і контроль ігрових та месенджерних акаунтів.
Джерела
- Aayush Tyagi, McAfee Labs. “Game Over: WeedHack – The Rise of Minecraft Malware-as-a-Service Campaigns.” McAfee Blog, 2 червня 2026, дата звернення 3 червня 2026. https://www.mcafee.com/blogs/other-blogs/mcafee-labs/weedhack-minecraft-malware-as-a-service-campaign-research/
- Minecraft Help. “Mods for Minecraft: Java Edition.” Minecraft Help Center, дата звернення 3 червня 2026. https://help.minecraft.net/hc/en-us/articles/4409139065613-Mods-for-Minecraft-Java-Edition
