[情報] CurseForge/bukkit plugin 部份帳號似乎遭受攻擊

作者: LPH66 (-6.2598534e+18f)   2023-06-07 11:41:38
6/10 更新:
幾個主要的模組來源 (Modrinth 跟 CurseForge) 都進行過清查了
目前如果你跑過 CurseForge 的 detection-tool 跟 jar-infection-scanner 都沒事
(連結在下面 6/7 更新那段)
那應該是可以繼續玩了
如果 jar-infection-scanner 有找到東西, 直接刪了他們不要執行應該都沒事
如果 detection-tool 有找到東西, 就會需要假設你的資料已經被偷了
請盡速找個乾淨的環境改密碼 (特別是登入 Minecraft 用的微軟帳號及你的 DC 帳號)
刪除它找到的東西, 並考慮進行全系統清理或重灌
我前天晚上有在巴哈麥塊哈拉版講這件事的文章裡簡單整理一些東西
就把連結貼過來吧
https://forum.gamer.com.tw/Co.php?bsn=18673&sn=1052371&subbsn=1&bPage=0
==
https://prismlauncher.org/news/cf-compromised-alert/
https://hackmd.io/@jaskarth4/B1gaTOaU2 (hackMD 有點 lag 所以又換到↙github 了)
https://github.com/fractureiser-investigation/fractureiser
據回報有數個在 CurseForge 上的專案遭不明人士上傳惡意檔案
更新:狀況可能不只是帳號破解這麼簡單...
暫名為 fractureiser 的這個惡意程式經過分析可能是殭屍網路的客戶端
目前最需要大家注意的是
在接下來一段時間內請避免下載或更新任何模組及模組包
不論來源是不是 CurseForge 或 bukkit plugin
若不幸更新了或是最近一週左右有更新請先將模組及模組包刪除並進行防毒軟體掃描
或是可依照上述網頁指示尋找是否有已知惡意軟體存在系統當中
上述網頁列了幾個已知受影響的模組及模組包
但目前認為影響範圍可能更廣,有遠至在 5/20 甚至四月就已受害的模組
會在今天爆出來是由於影響到了 Luna Pixel Studio 的模組包
===
這裡把整理網頁中 Am I Infected? 段整理過來
https://github.com/fractureiser-investigation/fractureiser/blob/main/docs/users.md
https://ssur.cc/BieYXZ9
這可以讓你簡單檢查是否已經受惡意軟體感染:
Linux 使用者可檢查是否有 ~/.config/.data/lib.jar
或 /etc/systemd/system/systemd-utility.service
或 ~/.config/systemd/user/systemd-utility.service
Windows 使用者可檢查是否有 %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar
或 ~\AppData\Local\Microsoft Edge\libWebGL64.jar
(或者如果你有安裝硬碟索引軟體如 Everything 之類的話
直接搜尋是否有 libWebGL64.jar 此一檔案)
(這個資料夾的 Microsoft Edge 中間有一個空格, 正常的沒有空格
基本上有這個資料夾就可以算有中標了)
若有的話表示你曾經執行過惡意軟體,請將最近一至兩週內下載的模組包或 plugin 刪除
找到的這個檔案也刪除,並進行防毒軟體掃描
同時也確定一下開機執行的機碼或資料夾有無可疑項目
然後盡快把你的所有登入密碼給換了 (特別是微軟及 DC), 可能已經外洩給駭客
如果是想要確定哪個模組的檔案受感染的話
hackMD 文件裡有人有提供啟發式比對程式幫助確認,但這就是相對進階一點的操作了
===
6/7 晚間更新: CurseForge 提供了用 C# 寫的偵測系統中是否有此惡意程式的小工具
https://support.curseforge.com/en/support/solutions/articles/9000228509
此工具可由中間第 2. 點的 download the detection tool from here 下載
它的作用大致上是檢查系統中是否有上一段提到的檔案 (及其附加檔案)
另外同一頁面也提供了 CurseForge 已知被植入第零階段擴散惡意程式的模組列表
===
目前根據惡意軟體分析的部份結果推測
它的第三階段核心似乎具有將第零階段的自己散播到同電腦中的其他模組 jar 檔的能力
因此這可能才是它的散播途徑
利用模組製作者已經中標的電腦散播到其所製作的 jar 檔中,再讓製作者不知情地上傳
(Luna Pixel Studio 遭到感染的途徑可能就是來自下載不知名模組執行而中標)
然後其他人下載該受感染的 jar 檔就會中標
所以這可能不是帳號受破解之類的事,而是藉由模組麥塊 ecosystem 進行傳播的病毒
這樣的話受影響範圍可能就不只 CurseForge 及 bukkit plugin
其他來源的模組可能也有危險
近兩週不論從何處下載的麥塊模組 jar 都有可能有問題...
上面列出會在系統裡的檔案是這支惡意程式的第二階段
現在由於剛發現時已經把命令控制(C&C)伺服器給停下了 (文件中那個 85. 開頭的 IP)
已知的尋找其他 C&C 伺服器的程式碼沒能正確運作,所以狀況暫時控制了
但所有人仍然要檢查是否自己有中標並清除之
詳細上面的 hackMD 頁面有英文的簡單解釋
===
reddit 討論串:https://redd.it/142zxka
===
1.20 正式版就在今晚,就先玩一陣子原版吧
作者: sasdj2418 (童顏巨人)   2023-06-07 13:12:00
推一下
作者: Gwaewluin (神無月 孝臣)   2023-06-07 15:11:00
multimc:我真有先見之明(並沒有)
作者: okery (葉君秦)   2023-06-07 23:10:00
真夭壽!
作者: LPH66 (-6.2598534e+18f)   2023-06-08 07:17:00
昨晚一個新的 C&C 伺服器出現, 馬上被撲滅了然後不知是不是誤放, 新的 C&C 上有完整未混淆的第三階段讓調查組確認了一些之前猜測的病毒行為包含它會偷取微軟登入資訊及 Discord 登入資訊及將在剪貼簿發現的加密錢包位址換成駭客的等

Links booklink

Contact Us: admin [ a t ] ucptt.com