Docenas de mods populares de Minecraft encontrados infectados con malware Fracturiser

Heaven32 Comments
Docenas de mods populares de Minecraft encontrados infectados con malware Fracturiser
Docenas de mods populares de Minecraft encontrados infectados con malware Fracturiser

imágenes falsas

Una plataforma que proporciona software de complemento para los más populares. Minecraft El juego aconseja a los usuarios que dejen de descargar o actualizar mods inmediatamente después de descubrir que se ha inyectado malware en docenas de ofertas que pone a disposición en línea.

Las cuentas de los desarrolladores de mods estaban alojadas en CurseForge, una plataforma que aloja cuentas y foros relacionados con software adicional conocido como mods o complementos, que amplían las capacidades del software independiente. Minecraft juego. Algunos de los archivos maliciosos utilizados en el ataque datan de mediados de abril, una señal de que los compromisos de las cuentas han estado activos durante semanas. También se cree que Bukkit.org, una plataforma de desarrollo dirigida por CurseForge, se verá afectada.

Fracturizador que infecta sistemas Windows y Linux

“Varias cuentas de Curseforge y dev.bukkit.org (no el software Bukkit en sí) se vieron comprometidas, y se inyectó software malicioso en copias de muchos complementos y mods populares”, escribieron los jugadores en un foro dedicado a discutir el evento. “Algunas de estas copias maliciosas se han inyectado en modpacks populares, incluido Better Minecraft. Hay informes de JAR de complementos/mod maliciosos desde mediados de abril”.

Una de las cuentas hackeadas pertenece a Prism Launcher, fabricante de código abierto Minecraft lanzacohetes. Funcionarios del lanzador de prismas descrito las infecciones como “generalizadas” y enumeró las siguientes modificaciones como afectadas:

Forja de la maldición:

  • Surgen las mazmorras
  • Pueblos del cielo
  • Mejor serie MC modpack
  • mazmorra
  • Núcleo Skyblock
  • Integraciones de bóveda
  • Transmisión automática
  • Conservador de museo avanzado
  • Corrección de errores de integraciones de Vault
  • Create Infernal Expansion Plus – Mod eliminado de CurseForge

Prueba:

  • Editor de entidades de visualización
  • Refugio Elytra
  • El editor de entidades personalizadas del evento Nexus
  • Cosecha sencilla
  • MCRecompensas
  • Alimentos fáciles de personalizar
  • Compatibilidad con Bungeecord antispam de comando
  • Nivelación definitiva
  • Choque contra Redstone
  • Hidratación
  • Complemento de permiso de fragmento
  • Sin VPN
  • Ultimate Títulos Animaciones Gradiente RGB
  • Daños flotante

Los participantes que publicaron en el foro dijeron que el malware utilizado en el ataque, denominado Fracturiser, se ejecuta en sistemas Windows y Linux. Se entrega en etapas que se inician en la Etapa 0, que comienza una vez que alguien ejecuta una de las modificaciones infectadas. Cada etapa descarga archivos de un servidor de comando y control y luego llama a la siguiente etapa. La etapa 3, que se cree que es la etapa final de la secuencia, crea carpetas y secuencias de comandos, realiza cambios en el registro del sistema y realiza lo siguiente:

  • Se propaga a todos los archivos JAR (archivo Java) en el sistema de archivos, lo que posiblemente permita que Fracturiser infecte otras modificaciones que no se descargaron de CurseForge o BukkitDev
  • Robar cookies e información de inicio de sesión para múltiples navegadores web
  • Reemplace las direcciones de criptomonedas en el portapapeles con direcciones alternativas
  • Robar credenciales de Discord
  • Robar Microsoft y Minecraft cartas credenciales

A las 10:45 hora de California, solo cuatro de los principales motores antivirus detectan Fracturiser, según muestras del malware publicadas en VirusTotal. aquí y aquí. Los participantes del foro dijeron que las personas que desean verificar manualmente sus sistemas en busca de signos de infección deben buscar lo siguiente:

  • linux: ~/.config/.data/lib.jar
  • ventanas: %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar (o ~\AppData\Local\Microsoft Edge\libWebGL64.jar)
    • Asegúrese de mostrar los archivos ocultos al verificar
    • Sí, “Microsoft Edge” con un espacio. MicrosoftEdge es el directorio legítimo utilizado por Edge real.
    • También revise el registro para una entrada en HKEY_CURRENT_USER:\Software\Microsoft\Windows\CurrentVersion\Run
    • O un atajo en %appdata%\Microsoft\Windows\Start Menu\Programs\Startup
  • Todos los demás sistemas operativos: No afectado. El malware está codificado para Windows y Linux únicamente. Es posible que reciba una actualización agregando cargas útiles para otros sistemas operativos en el futuro.

Las personas que investigan el incidente han puesto a disposición guiones aquí

para ayudar a buscar estos archivos. CurseForge tiene una guía de desinfección aquí.

En las redes sociales, funcionarios de CurseForge dicho que un “usuario malicioso ha creado varias cuentas y ha subido proyectos que contienen malware a la plataforma”. Los funcionarios continuaron diciendo que un usuario perteneciente al desarrollador de mods Luna Pixel Studios también fue pirateado y la cuenta se usó para cargar malware similar.

En una actualización que los funcionarios de CurseForge enviaron a través de un canal de Discord, escribieron:

  • Un usuario malintencionado ha creado varias cuentas y ha subido proyectos que contienen malware a la plataforma
  • Por separado, un usuario perteneciente a Luna Pixel Studios (LPS) fue pirateado y se utilizó para cargar malware similar
  • Hemos baneado todas las cuentas relevantes a esto y deshabilitado el LPS también. Estamos en contacto directo con el equipo de LPS para ayudarlos a restaurar su acceso
  • Estamos en el proceso de revisar TODOS los nuevos proyectos y archivos para garantizar su seguridad. por supuesto que estamos mantener el proceso de aprobación de todos los archivos nuevos hasta que esto se resuelva
  • La eliminación de su cliente CF no es una solución recomendada, ya que no resolverá el problema y nos impedirá implementar una solución. Estamos trabajando en una herramienta para ayudarlo a asegurarse de que no haya estado expuesto a nada de esto. Mientras tanto, consulte la información publicada en #números-actuales.
  • Esto es relevante SOLAMENTE para los usuarios de Minecraft
  • Para ser claro ¡CurseForge no está comprometido! Ninguna cuenta de administrador fue pirateada.

Estamos trabajando en esto para asegurarnos de que la plataforma siga siendo un lugar seguro para descargar y compartir mods. Gracias a todos los autores y usuarios que nos ayudan a resaltar, agradecemos su cooperación y paciencia ❤️

En una entrevista en línea, un funcionario de Luna Pixel Studio escribió:

Básicamente, nuestro desarrollador de Modpack instaló un mod malicioso de la última sección actualizada en Curseforge Launcher. Quería probar y ver si valía la pena agregarlo a la nueva actualización de Modpack y, dado que Curseforge lo aprobó, se pasó por alto. Después de lanzar Modpack, no era algo que queríamos, así que lo eliminamos, pero en ese momento ya era demasiado tarde y el malware ya había comenzado en la etapa 0.

Todo parecía estar bien hasta el día siguiente y luego los proyectos en curseforge de las cuentas de LunaPixelStudios comenzaron a cargar archivos y archivarlos después. Solo nos dimos cuenta de esto debido a que un usuario solicitó un registro de cambios para una de las modificaciones, pero nunca lo actualizamos, así que lo revisamos. A partir de ahí contactamos a mucha gente que hizo un trabajo increíble tratando de detenerlo. En su mayoría, no parece que muchos se hayan visto afectados, pero se sospecha que se encontraron mods maliciosos que se remontan al Partido de 2023.

Esta es una historia de última hora. Se añadirán más detalles según se justifique.

Leave a Reply

Your email address will not be published. Required fields are marked *