[情报] CurseForge/bukkit plugin 部份帐号似乎遭受攻击

楼主: LPH66 (-6.2598534e+18f)   2023-06-07 11:41:38
6/10 更新:
几个主要的模组来源 (Modrinth 跟 CurseForge) 都进行过清查了
目前如果你跑过 CurseForge 的 detection-tool 跟 jar-infection-scanner 都没事
(连结在下面 6/7 更新那段)
那应该是可以继续玩了
如果 jar-infection-scanner 有找到东西, 直接删了他们不要执行应该都没事
如果 detection-tool 有找到东西, 就会需要假设你的资料已经被偷了
请尽速找个干净的环境改密码 (特别是登入 Minecraft 用的微软帐号及你的 DC 帐号)
删除它找到的东西, 并考虑进行全系统清理或重灌
我前天晚上有在巴哈麦块哈拉版讲这件事的文章里简单整理一些东西
就把连结贴过来吧
https://forum.gamer.com.tw/Co.php?bsn=18673&sn=1052371&subbsn=1&bPage=0
==
https://prismlauncher.org/news/cf-compromised-alert/
https://hackmd.io/@jaskarth4/B1gaTOaU2 (hackMD 有点 lag 所以又换到↙github 了)
https://github.com/fractureiser-investigation/fractureiser
据回报有数个在 CurseForge 上的专案遭不明人士上传恶意档案
更新:状况可能不只是帐号破解这么简单...
暂名为 fractureiser 的这个恶意程式经过分析可能是僵尸网络的客户端
目前最需要大家注意的是
在接下来一段时间内请避免下载或更新任何模组及模组包
不论来源是不是 CurseForge 或 bukkit plugin
若不幸更新了或是最近一周左右有更新请先将模组及模组包删除并进行防毒软件扫描
或是可依照上述网页指示寻找是否有已知恶意软件存在系统当中
上述网页列了几个已知受影响的模组及模组包
但目前认为影响范围可能更广,有远至在 5/20 甚至四月就已受害的模组
会在今天爆出来是由于影响到了 Luna Pixel Studio 的模组包
===
这里把整理网页中 Am I Infected? 段整理过来
https://github.com/fractureiser-investigation/fractureiser/blob/main/docs/users.md
https://ssur.cc/BieYXZ9
这可以让你简单检查是否已经受恶意软件感染:
Linux 使用者可检查是否有 ~/.config/.data/lib.jar
或 /etc/systemd/system/systemd-utility.service
或 ~/.config/systemd/user/systemd-utility.service
Windows 使用者可检查是否有 %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar
或 ~\AppData\Local\Microsoft Edge\libWebGL64.jar
(或者如果你有安装硬盘索引软件如 Everything 之类的话
直接搜寻是否有 libWebGL64.jar 此一档案)
(这个资料夹的 Microsoft Edge 中间有一个空格, 正常的没有空格
基本上有这个资料夹就可以算有中标了)
若有的话表示你曾经执行过恶意软件,请将最近一至两周内下载的模组包或 plugin 删除
找到的这个档案也删除,并进行防毒软件扫描
同时也确定一下开机执行的机码或资料夹有无可疑项目
然后尽快把你的所有登入密码给换了 (特别是微软及 DC), 可能已经外泄给骇客
如果是想要确定哪个模组的档案受感染的话
hackMD 文件里有人有提供启发式比对程式帮助确认,但这就是相对进阶一点的操作了
===
6/7 晚间更新: CurseForge 提供了用 C# 写的侦测系统中是否有此恶意程式的小工具
https://support.curseforge.com/en/support/solutions/articles/9000228509
此工具可由中间第 2. 点的 download the detection tool from here 下载
它的作用大致上是检查系统中是否有上一段提到的档案 (及其附加档案)
另外同一页面也提供了 CurseForge 已知被植入第零阶段扩散恶意程式的模组列表
===
目前根据恶意软件分析的部份结果推测
它的第三阶段核心似乎具有将第零阶段的自己散播到同电脑中的其他模组 jar 档的能力
因此这可能才是它的散播途径
利用模组制作者已经中标的电脑散播到其所制作的 jar 档中,再让制作者不知情地上传
(Luna Pixel Studio 遭到感染的途径可能就是来自下载不知名模组执行而中标)
然后其他人下载该受感染的 jar 档就会中标
所以这可能不是帐号受破解之类的事,而是借由模组麦块 ecosystem 进行传播的病毒
这样的话受影响范围可能就不只 CurseForge 及 bukkit plugin
其他来源的模组可能也有危险
近两周不论从何处下载的麦块模组 jar 都有可能有问题...
上面列出会在系统里的档案是这支恶意程式的第二阶段
现在由于刚发现时已经把命令控制(C&C)服务器给停下了 (文件中那个 85. 开头的 IP)
已知的寻找其他 C&C 服务器的程式码没能正确运作,所以状况暂时控制了
但所有人仍然要检查是否自己有中标并清除之
详细上面的 hackMD 页面有英文的简单解释
===
reddit 讨论串:https://redd.it/142zxka
===
1.20 正式版就在今晚,就先玩一阵子原版吧
作者: sasdj2418 (童颜巨人)   2023-06-07 13:12:00
推一下
作者: Gwaewluin (神无月 孝臣)   2023-06-07 15:11:00
multimc:我真有先见之明(并没有)
作者: okery (叶君秦)   2023-06-07 23:10:00
真夭寿!
楼主: LPH66 (-6.2598534e+18f)   2023-06-08 07:17:00
昨晚一个新的 C&C 服务器出现, 马上被扑灭了然后不知是不是误放, 新的 C&C 上有完整未混淆的第三阶段让调查组确认了一些之前猜测的病毒行为包含它会偷取微软登入资讯及 Discord 登入资讯及将在剪贴簿发现的加密钱包位址换成骇客的等

Links booklink

Contact Us: admin [ a t ] ucptt.com