部分Curseforge账号疑似被盗用上传含恶意程序,请谨慎下载资源

据Iris Shader开发者hedge hog发布的公告,在最近几小时内,他们发现数十个账号上传了一些含有恶意程序的模组/整合包。受影响的游戏版本主要包括1.16.5、1.18.2和1.19.2。许多知名的模组/整合包也受到了影响。根据受影响的Curseforge账号来看,很有可能是有人绕过了Curseforge的两步验证直接登入了他们的账号来上传文件。

如果你已下载了这些受影响的模组或模组包,请立即隔离文件并对电脑全盘杀毒,除此外,近期请谨慎下载来自Curseforge的模组/模组包,包括使用启动器从Curseforge API下载模组功能。

以DungeonsX模组为例,其在启动后会自动从互联网下载一个Java class文件并将其载入游戏之中,执行一个命令来再次下载该恶意程序,并将其保存为可执行文件。该模组已经被添加到所有Luna Pixel Studios发布的整合包中,并被攻击者归档。可以预见,这些模组可能未来会再次出现,并使数千人被攻击。Fabulously Optimized整合包也被此次事件影响,其账号新上传的整合包中包含了一个Forge模组,万幸的是该模组从未被下载过,因此未造成危害。

已知受影响的整合包/模组:

When Dungeons Arise(地牢浮现之时)、Sky Villages(天空村庄)等LunaPixelStudios参与维护的项目。

Better MC modpack系列。

自查方法:删除以下文件(若有)

对于Unix:~/.config/.data/lib.jar

对于Windows:%LOCALAPPDATA%/Microsoft Edge/libWebGL64.jar或~/AppData/Local/Microsoft Edge/libWebGL64.jar

根据反编译结果,该恶意程序会将你的电脑变成僵尸网络的一部分,并在你的电脑上留下后门。

该恶意程序主要针对Linux用户,例如服务器等。值得注意的是,Windows用户也可能受此影响。

受感染的模组文件从网络下载的文件(反编译):https://pastebin.com/k2ZQKbEz

恶意程序释放的后门程序代码截图:

部分Curseforge账号疑似被盗用上传含恶意程序,请谨慎下载资源

部分样本文件:https://wwif.lanzouw.com/iLoST0yilvfa 解压密码:this isunsafe
已有 0 条评论