欢迎光临散文网 会员登陆 & 注册

【安全警告】知名 MC Mod、整合包、服务器插件遭到病毒投放,请保持警惕!

2023-06-07 22:24 作者:龙腾猫跃  | 我要投稿


事件概述

这是一次专门针对 Minecraft Mod 圈的攻击。至少从 5 月起,CurseForge 中的部分账号被盗,并上传了含有病毒的 Mod、整合包、服务器插件。受影响的 至少包括 Better MC 系列整合包、Dungeons Arise、天空村庄、十余个其他 Mod、服务器插件,以及使用了这些 Mod 的整合包。

该恶意软件至少会尝试:盗取 MC 账号,盗取浏览器登录信息,并感染电脑中的所有 MC 核心文件、Mod、服务器插件,这可能已经导致病毒扩散到了更多的整合包中。

攻击可能早在 4 月就已经开始了,但直到今天才被发现。目前,CurseForge 已经删除了部分文件,但由于该病毒存在感染性,即使没有在 CurseForge 上下载,依然可能受到影响。



我应该怎么做?

杀毒软件目前 不能扫描出该恶意软件。如果你在最近运行过带新版 Mod 的 MC,且担心自己已被感染,可以运行 CurseForge 官方发布的检测工具:

下载 1:https://ltcat.lanzoum.com/inF7F0ykhh3c

下载 2:https://pan.baidu.com/s/1h-k39O1qAvySMTjUVaQzyQ?pwd=5yix

如果出现下图的提示,则代表恶意软件目前没有在你的电脑上运行过。

如果检测工具发现了恶意软件,我个人建议按照以下方式处理:

  1. 按照 https://prismlauncher.org/news/cf-compromised-alert/ 的说明运行杀毒脚本

  2. 修改你在这台电脑上登录过的 所有账号 的密码:不仅限于 MC 账号,它还会窃取你在浏览器中的登录凭证

  3. 删除电脑上的 所有 MC Mod、版本核心文件、服务器插件,重新下载安装它们:即使它们可能是很久之前下载的,现在也已经被感染了

即使你没有被感染,也请 谨慎下载安装任何今年 5 月以后的 Mod、整合包、服务器插件,直至事情被彻底解决。

 

 

细节与技术信息

如果你只是普通玩家,在按照上述说明检查之后,多加注意,也暂时没有什么好担心的。如果事情有变,我会继续更新相关动态。

以下是事件的部分细节,如果想吃瓜可以继续阅读。

 

被植入恶意代码的 Mod、整合包至少有:Dungeons Arise、Sky Villages、Better MC 整合包系列、Dungeonz、Skyblock Core、Vault Integrations、AutoBroadcast、Museum Curator Advanced、Vault Integrations Bug fix

被植入恶意代码的 Bukkit 插件至少有:Display Entity Editor、Haven Elytra、The Nexus Event Custom Entity Editor、Simple Harvesting、MCBounties、Easy Custom Foods、Anti Command Spam Bungeecord Support、Ultimate Leveling、Anti Redstone Crash、Hydration、Fragment Permission Plugin、No VPNS、Ultimate Titles Animations Gradient RGB、Floating Damage

 

被植入到 Mod、插件里的恶意代码运行时,它会先尝试从服务器下载真正的恶意软件文件然后运行,该恶意软件可能至少执行了以下行为:

  • 让自身在开机时启动

  • 窃取 微软账户、Discord、Minecraft、加密货币钱包 的登录凭据

  • 窃取浏览器 Cookie 和登录信息(可能包含浏览器保存的所有密码)

  • 允许远程执行 DDoS 操作

  • 在整个电脑上查找 Minecraft 客户端与服务端核心 jar 文件、Mod 文件、服务器插件,并将最初的恶意代码植入进去,以进行感染和传播

由于上述操作没有任何能被直接观察到的要素,所以受害者几乎无法发现自己已被感染。而当 被感染者 将自己的 MC 客户端或者 Mod 文件发给他人的时候,恶意代码也会因此被扩散。这可能导致更大面积的传播,所以受影响的并不止前文列表中的那些 Mod 和插件。

前文的检测工具只能检测出下载的恶意软件文件,但无法检测被感染的 jar 文件(杀毒软件也检测不到)。因此即使检测通过,也无法排除潜在的风险。

现在还没有有效的将被感染的文件恢复的手段,请等待之后的更新……

 

 

引用

事件的最新进展:https://hackmd.io/@jaskarth4/B1gaTOaU2#Technical-info

行为分析:https://hackmd.io/5gqXVri5S4ewZcGaCbsJdQ

Prism 启动器公告:https://prismlauncher.org/news/cf-compromised-alert

 

标签:MinecraftMod恶意软件病毒我的世界木马MC插件服务器

【安全警告】知名 MC Mod、整合包、服务器插件遭到病毒投放,请保持警惕!的评论 (共 条)

分享到微博请遵守国家法律