事件概述

這是一次專門針對(duì) Minecraft Mod?圈的攻擊。至少?gòu)?5?月起，CurseForge?中的部分賬號(hào)被盜，并上傳了含有病毒的 Mod、整合包、服務(wù)器插件。受影響的 至少包括?Better MC?系列整合包、Dungeons Arise、天空村莊、十余個(gè)其他 Mod、服務(wù)器插件，以及使用了這些 Mod?的整合包。

該惡意軟件至少會(huì)嘗試：盜取 MC?賬號(hào)，盜取瀏覽器登錄信息，并感染電腦中的所有 MC?核心文件、Mod、服務(wù)器插件，這可能已經(jīng)導(dǎo)致病毒擴(kuò)散到了更多的整合包中。

攻擊可能早在 4?月就已經(jīng)開(kāi)始了，但直到今天才被發(fā)現(xiàn)。目前，CurseForge?已經(jīng)刪除了部分文件，但由于該病毒存在感染性，即使沒(méi)有在 CurseForge?上下載，依然可能受到影響。

我應(yīng)該怎么做？

殺毒軟件目前 不能掃描出該惡意軟件。如果你在最近運(yùn)行過(guò)帶新版?Mod?的 MC，且擔(dān)心自己已被感染，可以運(yùn)行 CurseForge?官方發(fā)布的檢測(cè)工具：

下載 1：https://ltcat.lanzoum.com/inF7F0ykhh3c

下載 2：https://pan.baidu.com/s/1h-k39O1qAvySMTjUVaQzyQ?pwd=5yix

如果出現(xiàn)下圖的提示，則代表惡意軟件目前沒(méi)有在你的電腦上運(yùn)行過(guò)。

如果檢測(cè)工具發(fā)現(xiàn)了惡意軟件，我個(gè)人建議按照以下方式處理：

1. 按照 https://prismlauncher.org/news/cf-compromised-alert/?的說(shuō)明運(yùn)行殺毒腳本

2. 修改你在這臺(tái)電腦上登錄過(guò)的 所有賬號(hào) 的密碼：不僅限于 MC?賬號(hào)，它還會(huì)竊取你在瀏覽器中的登錄憑證

3. 刪除電腦上的 所有 MC Mod、版本核心文件、服務(wù)器插件，重新下載安裝它們：即使它們可能是很久之前下載的，現(xiàn)在也已經(jīng)被感染了

即使你沒(méi)有被感染，也請(qǐng) 謹(jǐn)慎下載安裝任何今年?5?月以后的?Mod、整合包、服務(wù)器插件，直至事情被徹底解決。

?

?

細(xì)節(jié)與技術(shù)信息

如果你只是普通玩家，在按照上述說(shuō)明檢查之后，多加注意，也暫時(shí)沒(méi)有什么好擔(dān)心的。如果事情有變，我會(huì)繼續(xù)更新相關(guān)動(dòng)態(tài)。

以下是事件的部分細(xì)節(jié)，如果想吃瓜可以繼續(xù)閱讀。

?

被植入惡意代碼的 Mod、整合包至少有：Dungeons Arise、Sky Villages、Better MC?整合包系列、Dungeonz、Skyblock Core、Vault Integrations、AutoBroadcast、Museum Curator Advanced、Vault Integrations Bug fix

被植入惡意代碼的 Bukkit?插件至少有：Display Entity Editor、Haven Elytra、The Nexus Event Custom Entity Editor、Simple Harvesting、MCBounties、Easy Custom Foods、Anti Command Spam Bungeecord Support、Ultimate Leveling、Anti Redstone Crash、Hydration、Fragment Permission Plugin、No VPNS、Ultimate Titles Animations Gradient RGB、Floating Damage

?

被植入到 Mod、插件里的惡意代碼運(yùn)行時(shí)，它會(huì)先嘗試從服務(wù)器下載真正的惡意軟件文件然后運(yùn)行，該惡意軟件可能至少執(zhí)行了以下行為：

• 讓自身在開(kāi)機(jī)時(shí)啟動(dòng)

• 竊取 微軟賬戶、Discord、Minecraft、加密貨幣錢包 的登錄憑據(jù)

• 竊取瀏覽器?Cookie 和登錄信息（可能包含瀏覽器保存的所有密碼）

• 允許遠(yuǎn)程執(zhí)行 DDoS?操作

• 在整個(gè)電腦上查找 Minecraft?客戶端與服務(wù)端核心 jar?文件、Mod?文件、服務(wù)器插件，并將最初的惡意代碼植入進(jìn)去，以進(jìn)行感染和傳播
  

由于上述操作沒(méi)有任何能被直接觀察到的要素，所以受害者幾乎無(wú)法發(fā)現(xiàn)自己已被感染。而當(dāng) 被感染者 將自己的 MC?客戶端或者 Mod?文件發(fā)給他人的時(shí)候，惡意代碼也會(huì)因此被擴(kuò)散。這可能導(dǎo)致更大面積的傳播，所以受影響的并不止前文列表中的那些 Mod?和插件。

前文的檢測(cè)工具只能檢測(cè)出下載的惡意軟件文件，但無(wú)法檢測(cè)被感染的 jar?文件（殺毒軟件也檢測(cè)不到）。因此即使檢測(cè)通過(guò)，也無(wú)法排除潛在的風(fēng)險(xiǎn)。

現(xiàn)在還沒(méi)有有效的將被感染的文件恢復(fù)的手段，請(qǐng)等待之后的更新……

?

?

引用

事件的最新進(jìn)展：https://hackmd.io/@jaskarth4/B1gaTOaU2#Technical-info

行為分析：https://hackmd.io/5gqXVri5S4ewZcGaCbsJdQ

Prism?啟動(dòng)器公告：https://prismlauncher.org/news/cf-compromised-alert

?