【安全警告】大量 MC Mod、整合包、服务器插件遭到蠕虫病毒投放,请保持警惕!

精华修改于2023/06/163051 浏览公告更新
TapTap

事件概述

这是一次专门针对 Minecraft Mod 圈的攻击。至少从 5 月起,CurseForge 中的部分账号被盗,并上传了含有蠕虫病毒的 Mod、整合包、服务器插件。受影响的 至少包括 Better MC 系列整合包、地牢崛起之时(When Dungeons Arise)等数十个 Mod、服务器插件,以及使用了这些 Mod 的整合包。
该病毒会尝试:盗取 MC、Steam 等账号,盗取浏览器登录信息,并感染电脑中的 所有 jar 文件(包括 MC、Mod、服务器插件以及绝大多数 Java 程序),这将导致病毒扩散到更多的整合包,甚至是常规的 Java 程序中。
攻击可能早在 4 月就已经开始了,但直到 6 月 7 日才被发现。目前,CurseForge 已经删除了所有携带病毒的文件。但由于它存在感染性,可能导致二次传播,因此依然可能受到影响。
horizontal linehorizontal line

我应该怎么做?

杀毒软件目前 不能扫描出被该病毒感染的文件。如果你在最近运行过带新版 Mod 的 MC,且担心自己已被感染,可以运行 CurseForge 官方发布的检测工具:
下载 1:https://ltcat.lanzoum.com/inF7F0ykhh3c
下载 2:https://pan.baidu.com/s/1h-k39O1qAvySMTjUVaQzyQ?pwd=5yix
如果出现下图的提示,则代表该病毒目前没有在你的电脑上运行过。
TapTap
如果检测工具发现了病毒,我个人建议按照以下方式处理:
  1. 按照 https://github.com/fractureiser-investigation/fractureiser/blob/main/docs/users.md 的说明删除运行中的病毒
  2. 使用杀毒软件进行全盘查杀
  3. 修改你在这台电脑上登录过的 所有账号 的密码,并尽量开启二步验证:不仅限于 MC 账号,它还会窃取你在浏览器中的登录凭证,Steam、Epic 账号等
  4. 删除电脑上的 所有 .jar 文件,你可以全盘搜索 .jar 来删除它们,它们全部都被感染了
即使你没有被感染,也请 谨慎下载安装任何今年 5 月以后的 Mod、整合包、服务器插件,直至事情被彻底解决。
horizontal linehorizontal line

细节与技术信息

如果你只是普通玩家,在按照上述说明检查之后,多加注意,也暂时没有什么好担心的。如果事情有变,我会继续更新相关动态。
以下是事件的部分细节,如果想吃瓜可以继续阅读。
被植入恶意代码的 Mod、整合包有:Better MC 整合包系列、When Dungeons Arise、Sky Villages、DungeonX、Skyblock Core、Vault Integrations、AutoBroadcast、Museum Curator Advanced、Vault Integrations (Bug Fix)、Golem Awakening、Phanerozoic Worlds、Museum Curator Advanced、More and Ore advanced、Just Enough Ingots、Create: Diesel and Oil Generators、Ultra Swords Mod 等等。
被植入恶意代码的 Bukkit 插件至少有:Display Entity Editor、Haven Elytra、The Nexus Event Custom Entity Editor、Simple Harvesting、MCBounties、Easy Custom Foods、Anti Command Spam Bungeecord Support、Ultimate Leveling、Anti Redstone Crash、Hydration、Fragment Permission Plugin、No VPN、Ultimate Titles Animations Gradient RGB、Floating Damage 等等。
被植入到 Mod、插件里的恶意代码运行时,它会先尝试从服务器下载真正的恶意软件文件然后运行,该恶意软件可能至少执行了以下行为:
  • 进行虚拟机 / 沙盒逃逸(对其进行测试时请务必谨慎!)
  • 让自身在开机时启动,添加运行保护
  • 窃取 微软账户(含 MC 正版)、Discord、Steam、Epic、加密货币钱包 的登录凭据
  • 窃取浏览器 Cookie 和登录信息(包含浏览器保存的所有密码)
  • 下载其他病毒程序
  • 允许远程执行 DDoS 操作(肉鸡)、执行任意脚本命令
  • 在整个电脑上查找任意 jar 文件(包括 Minecraft 核心文件、Mod 文件、服务器插件,以及常规的 Java 程序),并将最初的恶意代码植入进去,以进行感染和传播
由于上述操作没有任何能被直接观察到的要素,所以受害者几乎无法发现自己已被感染。而当 被感染者 将自己的 MC 客户端或者 Mod 文件发给他人的时候,恶意代码也会因此被扩散。这可能导致更大面积的传播,所以受影响的并不止前文列表中的那些 Mod 和插件。
前文的检测工具只能检测出下载的恶意软件文件,但无法检测被感染的 jar 文件(杀毒软件也检测不到)。因此即使检测通过,也无法排除潜在的风险。
现在还没有有效的将被感染的文件恢复的手段,请等待之后的更新……
horizontal linehorizontal line

引用

horizontal linehorizontal line
作者:龙腾猫跃 https://www.bilibili.com/read/cv24201292 出处:bilibili
93
32
9