|
此文章来自https://www.mcbbs.net/thread-1447445-1-1.html
突发!部分Curseforge账号疑似被盗用,或上传含恶意程序的模组文件
据Iris Shader开发者hedge hog发布的公告,在最近几小时内,他们发现数十个账号上传了一些含有恶意程序的模组 / 整合包。受影响的游戏版本主要包括1.16.5、1.18.2和1.19.2。许多知名的模组 / 整合包也受到了影响。根据受影响的Curseforge账号来看,很有可能是有人绕过了Curseforge的两步验证直接登入了他们的账号来上传文件。
以DungeonsX模组为例,其在启动后会自动从互联网下载一个Java class文件并将其载入游戏之中,执行一个命令来再次下载该恶意程序,并将其保存为可执行文件。该模组已经被添加到所有Luna Pixel Studios发布的整合包中,并被攻击者归档。可以预见,这些模组可能未来会再次出现,并使数千人被攻击。Fabulously Optimized整合包也被此次事件影响,其账号新上传的整合包中包含了一个Forge模组,万幸的是该模组从未被下载过,因此未造成危害。
已知受影响的整合包 / 模组:
- When Dungeons Arise(地牢浮现之时)、Sky Villages(天空村庄)等LunaPixelStudios参与维护的项目。
- Better MC modpack 系列。
自查方法:删除以下文件(若有)
对于Unix: ~/.config/.data/lib.jar
对于Windows:%LOCALAPPDATA%/Microsoft Edge/libWebGL64.jar或~/AppData/Local/Microsoft Edge/libWebGL64.jar
根据反编译结果,该恶意程序会将你的电脑变成僵尸网络的一部分,并在你的电脑上留下后门。
该恶意程序主要针对Linux用户,例如服务器等。值得注意的是,Windows用户也可能受此影响。
受感染的模组文件包含的恶意代码:
受感染的模组文件从网络下载的文件(反编译):https://pastebin.com/k2ZQKbEz
恶意程序释放的后门程序代码截图:
部分样本文件:https://wwif.lanzouw.com/iLoST0yilvfa 解压密码 this isunsafe
公告具体内容补充:
As of a couple hours ago, tens of mods & modpacks, mostly on 1.16.5, 1.18.2 and 1.19.2 have been updated to include malicious files. These projects include When Dungeons Arise, Sky Villages, and the Better MC modpack series. The Curseforge profile of these accounts show someone logging into them directly.
在数小时前,主要在 1.16.5 1.18.2 和 1.19.2 的数十个模组和整合包被更新为携带了恶意文件的版本。包括 地牢崛起之时(When Dungeons Arise)、Sky Villages(天空集市)和 Better MC 模组包系列。这些账号疑似被某人直接登录(绕过了2FA)。
如果你已下载了这些受影响的模组或模组包,请立即隔离文件并对电脑全盘杀毒,除此外,近期请谨慎下载来自 Curseforge 的模组/模组包,包括使用启动器从 Curseforge API 下载模组功能。 |
|
|