Une plate-forme qui fournit des logiciels plugins pour les plus populaires Minecraft Le jeu conseille aux utilisateurs d’arrêter immédiatement de Télécharger ou de mettre à jour les mods après avoir découvert qu’un logiciel malveillant a été injecté dans des dizaines d’offres qu’il met à disposition en ligne.
Les comptes des développeurs de mods étaient hébergés par CurseForge, une plate-forme qui héberge des comptes et des forums liés à des logiciels complémentaires appelés mods ou plugins, qui étendent les capacités du module autonome. Minecraft jeu. Certains des fichiers malveillants utilisés dans l’attaque remontent à la mi-avril, signe que les comptes compromis sont actifs depuis des semaines. Bukkit.org, une plateforme de développement gérée par CurseForge, serait également concernée.
Fractureur infectant les systèmes Windows et Linux
« Un certain nombre de comptes Curseforge et dev.bukkit.org (et non le logiciel Bukkit lui-même) ont été compromis et des logiciels malveillants ont été injectés dans des copies de nombreux plugins et mods populaires », ont écrit les joueurs dans un communiqué. forum dédié à discuter de l’événement. « Certaines de ces copies malveillantes ont été injectées dans des modpacks populaires, notamment Better Minecraft. Des fichiers JAR de plugins/mods malveillants ont été signalés dès la mi-avril.
Fonctionnaires avec Prism Launcher, créateur d’un logiciel open source Minecraft lanceur, décrit les infections sont qualifiées de « généralisées » et ont répertorié les mods suivants comme concernés :
MalédictionForge :
- Les donjons surgissent
- Villages célestes
- Meilleure série de modpacks MC
- Donjonz
- Noyau Skyblock
- Intégrations de coffre-fort
- Diffusion automatique
- Conservateur de musée Avancé
- Correction d’un bug d’intégration de Vault
- Create Infernal Expansion Plus – Mod supprimé de CurseForge
Bukit :
- Éditeur d’entité d’affichage
- Havre d’Élytres
- L’éditeur d’entités personnalisées d’événements Nexus
- Récolte simple
- MCBounties
- Aliments personnalisés faciles
- Prise en charge du Bungeecord anti-spam de commande
- Nivellement ultime
- Crash anti-Redstone
- Hydratation
- Plugin d’autorisation de fragmentation
- Pas de VPN
- Titres ultimes Animations Dégradé RVB
- Dégâts flottants
Les participants au forum ont déclaré que le logiciel malveillant utilisé dans l’attaque, baptisé Fracturiser, fonctionnait sur les systèmes Windows et Linux. Il est livré par étapes initiées par l’étape 0, qui commence une fois que quelqu’un exécute l’un des mods infectés. Chaque étape télécharge des fichiers à partir d’un serveur de commande et de contrôle, puis appelle l’étape suivante. L’étape 3, considérée comme la dernière étape de la séquence, crée des dossiers et des scripts, apporte des modifications au registre système et effectue ensuite les opérations suivantes :
- Se propager à tous les fichiers JAR (archive Java) du système de fichiers, permettant éventuellement à Fracturiser d’infecter d’autres mods qui n’ont pas été téléchargés depuis CurseForge ou BukkitDev
- Voler les cookies et les informations de connexion pour plusieurs navigateurs Web
- Remplacez les adresses de crypto-monnaie dans le presse-papiers par des adresses alternatives
- Voler les identifiants Discord
- Voler Microsoft et Minecraft informations d’identification
À 10 h 45, heure de Californie, seuls quatre des principaux moteurs antivirus détectent Fracturiser, selon des échantillons du logiciel malveillant publiés sur VirusTotal. ici et ici. Les participants au forum ont déclaré que les personnes souhaitant vérifier manuellement leurs systèmes à la recherche de signes d’infection devraient rechercher les éléments suivants :
- Linux:
~/.config/.data/lib.jar
- les fenêtres:
%LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar
(ou~\AppData\Local\Microsoft Edge\libWebGL64.jar
)- Assurez-vous d’afficher les fichiers cachés lors de la vérification
- Oui, « Microsoft Edge » avec un espace. MicrosoftEdge est le répertoire légitime utilisé par Edge actuel.
- Vérifiez également le registre pour une entrée à
HKEY_CURRENT_USER:\Software\Microsoft\Windows\CurrentVersion\Run
- Ou un raccourci dans
%appdata%\Microsoft\Windows\Start Menu\Programs\Startup
- Tous les autres systèmes d’exploitation: Non affecté. Le malware est codé en dur pour Windows et Linux uniquement. Il est possible qu’il reçoive une mise à jour ajoutant des charges utiles pour d’autres systèmes d’exploitation à l’avenir.
Les personnes enquêtant sur l’incident ont mis à disposition des scripts ici pour aider à vérifier ces fichiers. CurseForge a des conseils de désinfection ici.
Sur les réseaux sociaux, les responsables de CurseForge dit qu’un « utilisateur malveillant a créé plusieurs comptes et téléchargé des projets contenant des logiciels malveillants sur la plateforme ». Les responsables ont ajouté qu’un utilisateur appartenant au développeur de mods Luna Pixel Studios avait également été piraté et que le compte avait été utilisé pour télécharger des logiciels malveillants similaires.
Dans une mise à jour envoyée par les responsables de CurseForge sur une chaîne Discord, ils ont écrit :
- Un utilisateur malveillant a créé plusieurs comptes et téléchargé des projets contenant des logiciels malveillants sur la plateforme
- Par ailleurs, un utilisateur appartenant à Luna Pixel Studios (LPS) a été piraté et utilisé pour télécharger un malware similaire.
- Nous avons banni tous les comptes concernés et désactivé celui de LPS également. Nous sommes en contact direct avec l’équipe LPS pour les aider à rétablir leurs accès
- Nous sommes en train d’examiner TOUS les nouveaux projets et dossiers pour garantir votre sécurité. Nous sommes bien sûr suspendre le processus d’approbation de tous les nouveaux dossiers jusqu’à ce que le problème soit résolu
- La suppression de votre client CF n’est pas une solution recommandée car elle ne résoudra pas le problème et nous empêchera de déployer un correctif. Nous travaillons sur un outil pour vous aider à vous assurer que vous n’êtes exposé à rien de tout cela. En attendant, référez-vous aux informations publiées dans #current-issues.
- Ceci concerne UNIQUEMENT les utilisateurs de Minecraft
- Pour être clair CurseForge n’est pas compromis ! Aucun compte administrateur n’a été piraté.
Nous y travaillons pour garantir que la plateforme reste un endroit sûr pour télécharger et partager des mods. Merci à tous les auteurs et utilisateurs qui nous aident à mettre en valeur, nous apprécions votre coopération et votre patience ❤️
Dans une interview en ligne, un responsable de Luna Pixel Studio a écrit :
Fondamentalement, notre développeur Modpack a installé un mod malveillant à partir de la dernière section mise à jour du lanceur Curseforge. Il voulait tester et voir si cela valait la peine d’être ajouté à la nouvelle mise à jour du Modpack et comme il a été approuvé par Curseforge, il a été négligé. Après avoir lancé le Modpack, ce n’était pas quelque chose que nous voulions, nous l’avons donc supprimé, mais à ce stade, il était trop tard et le malware a déjà commencé au stade 0.
Tout semblait bien jusqu’au lendemain, puis les projets sur Curseforge à partir des comptes LunaPixelStudios ont commencé à télécharger des fichiers et à les archiver par la suite. Nous n’avons découvert cela que parce qu’un utilisateur a demandé un journal des modifications pour l’un des mods, mais nous ne l’avons jamais mis à jour, nous l’avons donc vérifié. À partir de là, nous avons contacté de nombreuses personnes qui ont fait un travail incroyable pour tenter d’arrêter cela. Dans la plupart des cas, il ne semble pas que beaucoup aient été touchés, mais on soupçonne que des mods malveillants ont été découverts et remontent au Match de 2023.
C’est une histoire révolutionnaire. Plus de détails seront ajoutés si justifié.