.
Getty Images
Uma plataforma que fornece software de plug-in para o popular Minecraft game está aconselhando os usuários a parar imediatamente de baixar ou atualizar mods depois de descobrir que o malware foi injetado em dezenas de ofertas que disponibiliza online.
As contas do mod-developer foram hospedadas pelo CurseForge, uma plataforma que hospeda contas e fóruns relacionados a softwares complementares conhecidos como mods ou plugins, que ampliam os recursos do autônomo Minecraft jogo. Alguns dos arquivos maliciosos usados no ataque datam de meados de abril, um sinal de que o comprometimento da conta está ativo há semanas. Acredita-se que o Bukkit.org, uma plataforma de desenvolvedores administrada pela CurseForge, também foi afetado.
Fracturiser infectando sistemas Windows e Linux
“Várias contas Curseforge e dev.bukkit.org (não o próprio software Bukkit) foram comprometidas e software malicioso foi injetado em cópias de muitos plugins e mods populares”, escreveram os jogadores em um fórum dedicado a discutir o evento. “Algumas dessas cópias maliciosas foram injetadas em modpacks populares, incluindo o Better Minecraft. Há relatos de plugins/mod JARs maliciosos já em meados de abril.”
Funcionários do Prism Launcher, criador de um código aberto Minecraft launcher, descreveu as infecções como “generalizadas” e listou os seguintes mods como afetados:
CurseForge:
- Dungeons Surgem
- Aldeias do Céu
- Melhor série modpack MC
- Masmorras
- Skyblock Núcleo
- Integrações do Vault
- Transmissão Automática
- Curador de Museu Avançado
- Correção de bug nas integrações do Vault
- Criar Expansão Infernal Plus – Mod removido do CurseForge
Bukkit:
- Exibir Editor de Entidades
- Refúgio Elytra
- O editor de entidade personalizada do evento Nexus
- Colheita Simples
- MCBounties
- Alimentos Personalizados Fáceis
- Suporte Bungeecord anti-spam de comando
- Nivelamento final
- Anti-Redstone Crash
- hidratação
- Plug-in de Permissão de Fragmento
- Sem VPN
- Ultimate Titles Animações Gradiente RGB
- Dano flutuante
Os participantes que postaram no fórum disseram que o malware usado no ataque, apelidado de Fracturiser, roda em sistemas Windows e Linux. É entregue em estágios iniciados pelo Estágio 0, que começa quando alguém executa um dos mods infectados. Cada estágio baixa arquivos de um servidor de comando e controle e, em seguida, chama o próximo estágio. O estágio 3, considerado o estágio final da sequência, cria pastas e scripts, faz alterações no registro do sistema e segue executando o seguinte:
- Propaga-se para todos os arquivos JAR (arquivo Java) no sistema de arquivos, possivelmente permitindo que o Fracturiser infecte outros mods que não foram baixados do CurseForge ou BukkitDev
- Roubar cookies e informações de login para vários navegadores da Web
- Substitua os endereços de criptomoeda na área de transferência por outros alternativos
- Roubar credenciais do Discord
- Roubar a Microsoft e Minecraft credenciais
A partir das 10h45, horário da Califórnia, apenas quatro dos principais mecanismos antivírus detectaram o Fracturiser, de acordo com amostras do malware publicadas no VirusTotal aqui e aqui. Os participantes do fórum disseram que as pessoas que desejam verificar manualmente seus sistemas em busca de sinais de infecção devem procurar o seguinte:
- Linux:
~/.config/.data/lib.jar - janelas:
%LOCALAPPDATA%Microsoft EdgelibWebGL64.jar(ou~AppDataLocalMicrosoft EdgelibWebGL64.jar)- Certifique-se de mostrar os arquivos ocultos ao verificar
- Sim, “Microsoft Edge” com um espaço. MicrosoftEdge é o diretório legítimo usado pelo Edge real.
- Verifique também o registro em busca de uma entrada em
HKEY_CURRENT_USER:SoftwareMicrosoftWindowsCurrentVersionRun - Ou um atalho em
%appdata%MicrosoftWindowsStart MenuProgramsStartup
- Todos os outros sistemas operacionais: Não afetado. O malware é codificado apenas para Windows e Linux. É possível que receba uma atualização adicionando cargas úteis para outros sistemas operacionais no futuro.
As pessoas que investigam o incidente disponibilizaram scripts aqui para ajudar a verificar esses arquivos. CurseForge tem orientações de desinfecção aqui.
Nas mídias sociais, os funcionários do CurseForge disse que um “usuário mal-intencionado criou várias contas e carregou projetos contendo malware na plataforma”. Os funcionários continuaram dizendo que um usuário pertencente ao desenvolvedor do mod Luna Pixel Studios também foi hackeado e a conta foi usada para fazer upload de malware semelhante.
Em uma atualização que os funcionários do CurseForge enviaram por um canal Discord, eles escreveram:
- Um usuário mal-intencionado criou várias contas e carregou projetos contendo malware para a plataforma
- Separadamente, um usuário pertencente ao Luna Pixel Studios (LPS) foi hackeado e usado para fazer upload de malware semelhante
- Banimos todas as contas relevantes para isso e desativamos a do LPS também. Estamos em contato direto com a equipe LPS para ajudá-los a restaurar o acesso
- Estamos em processo de revisão de TODOS os novos projetos e arquivos para garantir sua segurança. nós somos claro segurando o processo de aprovação de todos os novos arquivos até que isso seja resolvido
- Excluir seu cliente CF não é uma solução recomendada, pois não resolverá o problema e nos impedirá de implantar uma correção. Estamos trabalhando em uma ferramenta para ajudá-lo a garantir que você não foi exposto a nada disso. Enquanto isso, consulte as informações publicadas em #current-issues.
- Isso é relevante APENAS para usuários do Minecraft
- Para ser claro CurseForge não está comprometido! Nenhuma conta de administrador foi invadida.
Estamos trabalhando nisso para garantir que a plataforma continue sendo um local seguro para baixar e compartilhar mods. Obrigado a todos os autores e usuários que nos ajudam a destacar, agradecemos sua cooperação e paciência
Em uma entrevista online, um funcionário do Luna Pixel Studio escreveu:
Basicamente, nosso desenvolvedor do Modpack instalou um mod malicioso da seção atualizada mais recente no Curseforge Launcher. Ele queria testar e ver se valia a pena adicionar à nova atualização do Modpack e, como foi aprovado pelo Curseforge, foi esquecido. Depois de lançar o Modpack, não era algo que queríamos, então o removemos, mas nessa fase já era tarde demais e o malware já começou no estágio 0.
Tudo parecia bem até o dia seguinte e, em seguida, os projetos no curseforge das contas do LunaPixelStudios começaram a enviar arquivos e arquivá-los depois. Nós só percebemos isso porque um usuário pediu um changelog para um dos mods, mas nunca o atualizamos, então verificamos. A partir daí, contatamos muitas pessoas que fizeram um trabalho incrível tentando pará-lo. Principalmente, não parece que muitos foram afetados, mas suspeita-se que mods maliciosos foram encontrados datados de Match of 2023.
Esta é uma história de última hora. Mais detalhes serão adicionados conforme garantido.
.
