國內(nèi)全網(wǎng)目前并沒有人完整的解釋事件的來龍去脈，有人試圖解釋了也是機翻與猜想亂飛，非常神秘。于是我寫了這么一篇專欄幫你了解23年6月發(fā)生的被mc modding社區(qū)稱為“fractureiser”的惡意軟件（malware）的當(dāng)前進展。

須知：非常抱歉，為了吸引你的眼球，我當(dāng)了一回標(biāo)題黨。首先curseforge，modrinth，以及bukkit等平臺/論壇都沒有管理員帳號被黑。其次，在筆者撰寫這篇B站專欄的時候（6/8 3:15）此次事件還遠遠沒有結(jié)束。所以這個事件既不是“curseforge被黑”一段話能說明白，也不是“事件完整始末”——還沒人知道下一步會發(fā)掘出什么新東西。

但是這篇文章應(yīng)該是目前國內(nèi)對該事件最完整的，涉及了技術(shù)內(nèi)容，但不至于讓不懂的人厭煩的描述。

第零章 嗨擱著看什么事件始末，趕緊去自檢！

筆者建議任何在23年玩過帶mod和插件的mc的玩家都應(yīng)該完成一個簡單的自檢！確定自己的個人信息安全后回來再吃瓜也不遲！

如果你是Windows用戶：

1. 打開開始菜單，輸入%localappdata%，進入

2. 確保你能查看到所有文件（隱藏文件+系統(tǒng)文件），然后查看該文件夾內(nèi)是否有叫做"Microsoft Edge”的文件夾——兩詞之間帶空格的文件夾才是不妙的。不帶空格“MicrosoftEdge”沒有問題。

3. 如果發(fā)現(xiàn)，你已經(jīng)被感染！立刻刪除該文件夾里的所有內(nèi)容！

如果你是Linux用戶：

1. 確保你能查看到所有文件（如終端的ls -a）

2. 查看是否有以下文件：

1. ~/.config/systemd/user/systemd-utility.service

2. /etc/systemd/system/systemd-utility.service

3. ~/.config/.data/lib.jar
   

3. 如果發(fā)現(xiàn)，你已經(jīng)被感染！立刻刪除該文件夾里的所有內(nèi)容！

Q1：“我就是一個普通的windows用戶懶狗，你說的自檢步驟這些我搞不懂也懶得搞啊”

A1：?你如果信任curseforge的話，他們已經(jīng)做了一個自檢工具。鏈接：https://github.com/overwolf/detection-tool/releases/download/0.0.1/DetectionTool-0.0.1.exe

Q2：“我超！真給我檢查出來了！我現(xiàn)在啥情況啊大夫？”

A2：由V姐重新整理過的社區(qū)說明文檔建議你備份電腦里全部文件，刪除所有.jar文件，然后替換所有的密碼。嚴(yán)重到這種程度是因為該事件還在進行中，而社區(qū)對于該malware的危害到底有多嚴(yán)重還沒有一個徹底的定論。筆者在快速過了一遍目前已經(jīng)被反編譯的源碼和社區(qū)文檔里的技術(shù)細(xì)節(jié)后，給你如下建議：

• 你的微軟帳號驗證信息，discord驗證信息，以及瀏覽器保存的密碼，真的真的需要全都視為已經(jīng)泄露。你真的真的真需要把你的微軟帳號密碼和瀏覽器里保存的密碼全都設(shè)置一遍！

• 你的電腦里的所有mod和mc插件.jar文件肯定已經(jīng)全部都被感染。如果你是Java開發(fā)者，gradle和maven的緩存也已經(jīng)被感染了。殺殺殺殺殺殺！

• 目前反編譯出的源碼都多多少少依賴Java環(huán)境才能運行（里面還有些native），刪掉電腦里所有的JRE和JDK也是一個自我保護的手段

• 拉黑ip?85.217.144.130與107.189.3.101?，且在host重定向域名files-8ie.pages.dev/ip為0.0.0.0

而無論你有沒有被感染，如果你還想玩有mod的mc的話：

• 繼續(xù)關(guān)注此事件。直到事件結(jié)束前，筆者強烈建議你不要在curseforge和modrinth上下載或更新任何mod和mod包?。ㄉ鐓^(qū)文檔的建議是最近干脆完全不要碰mc）

• 作為mc mod的集散地，curseforge和modrinth中招意味著所有的二次分布的mod也有潛在的中招風(fēng)險。你應(yīng)該明確知道你的群文件和各路網(wǎng)盤的mod的最初來源是哪，整合者（你的懂哥或服主）二次分布的時候，這些mod的發(fā)布時間是不是在最近。筆者建議不要下載任何mod發(fā)布日期在今年的二次分布包。

• 1122和1710這樣的舊版本玩家，比1165+的新版本玩家會顯著的安全許多。這是因為這些mod以及mod包已經(jīng)許久沒更新了。但目前沒人能確定是百分百安全的。

• 再次聲明，上述建議是因為該事件還沒有徹底塵埃落地才建議你采取的保守性措施！此時此刻開啟游戲你也很可能沒事，但是你至少要有“我這時候開mc可能會讓我各種帳號被黑，到時候真被黑了只能怪我自己癮太大，太不把壞比當(dāng)回事”的正確認(rèn)知。用太君的話來說，就是“覺悟”。

檢查得差不多了？現(xiàn)在可以安下心來聽我娓娓道來——

第一章 發(fā)生啥事？

省流：壞比人做壞比malware。該malware通過高版本大人氣網(wǎng)紅冒險包造成超廣泛傳播。事情鬧大后人心惶惶，社區(qū)懂哥光速集結(jié)，通過舉辦ip姑且算是控制住了局面。反編譯已經(jīng)進行的大差不差。已知的災(zāi)難已經(jīng)結(jié)束，但是由于廣泛傳播已經(jīng)形成，現(xiàn)在modding社區(qū)，curseforge，mojang在使勁把始作俑者揪出來的同時，也在防范壞比再來一個大的。

以下是完整經(jīng)過。

這篇文章19小時前（六月七日），當(dāng)前的社區(qū)文檔作者團隊了解到了大人氣原版Plus包Better MC進行了一次詭異的更新，里面包含了明顯是malware的文件。兩三個小時后，一定的討論在各個MC相關(guān)discord群里產(chǎn)生。社區(qū)把核心討論集結(jié)到一個群里。

對惡意文件粗略的分析很快讓社區(qū)發(fā)現(xiàn)了這些文件試圖產(chǎn)生連接的ip和域名。ip?85.217.144.130被拿下，但域名files-8ie.pages.dev還沒有，于是社區(qū)在舉辦點爛的同時，開始密切關(guān)注該域名的動態(tài)。

然而事情比想象中的還糟。社區(qū)開始意識到這個malware已經(jīng)存在了很長一段時間。而他們現(xiàn)在發(fā)現(xiàn)這個malware，只是因為它終于嚴(yán)重到影響了有大團隊在維護和更新的高人氣mod包。惡意文件目前已經(jīng)追溯到的最早出現(xiàn)時間是在今年四月中旬。但在挖掘的過程中，社區(qū)發(fā)現(xiàn)這些mod上傳者都是一些“最后活動時間1999年”的，可能是curseforge在用戶系統(tǒng)迭代前就有的詭異帳號，這個“最后時間是四月”的說法也顯得變得無力起來……該malware的出現(xiàn)時間還可能是更早之前。

由于最早被發(fā)現(xiàn)的上傳該malware的用戶ID是fractureiser，于是社區(qū)用它作為該malware的代號。

所以，fractureiser到底能干啥呢？說到底社區(qū)判斷這些文件是惡意的是因為它們上來就在一個指定的網(wǎng)站下載東西，然后下載下來的東西被直接注入內(nèi)存，從而生成一個會被開啟自啟動的文件。目前挖掘到這些文件都只是“惡魔召喚師”，真正的召喚來的惡魔是什么呢？

很快社區(qū)獲得了一個殘缺的“惡魔”文件。雖然是殘缺的，但是已經(jīng)能確定它會從windows的憑據(jù)管理器（Credential Manager）中竊取信息。

這時，以Shadowex3為首的一幫社區(qū)懂哥加入討論，他們表示他們有著完整的“惡魔”文件，以及對它的反編譯和代碼解析。他們早在六月三日前后就發(fā)現(xiàn)了一些mod包有著詭異的上傳活動。當(dāng)時他們意識到了有問題之后，為了不打草驚蛇，他們秘密得對有問題的文件開始了反編譯工作。作為結(jié)果，他們獲得了近乎完整的fractureiser的一系列payload。

然而這時候?qū)τ诤芏鄥⑴c者來說已經(jīng)進入半夜。社區(qū)懂哥們參與討論完全是出于愛好和對mc的喜愛。大伙都有第二天都得返工，不得不睡。但一個國際化的社區(qū)，它好就好在全世界的人都可以參與。其他人接手了調(diào)查，如xylemlandmark開放了一個人接受文件樣本和重要信息的email，而williewillus則開始整理Shadowex3等人的解析。

隨著對“惡魔”文件的解析趨于結(jié)束，一個絕望的信息被社區(qū)所知——“惡魔”除了會竊取個人信息之外，它還會對受害者掃盤，然后把里面所有mc mod與mc插件.jar文件注入最初的“惡魔召喚師”，被注入的文件包括了gradle和maven的緩存！考慮到fractureiser的出現(xiàn)時間，僅當(dāng)前能查到的歷史就已經(jīng)在兩個月前了，社區(qū)認(rèn)為fractureiser之所以被這樣廣泛傳播，就是因為有mod作者意外碰到了它，然后在不知情的情況下，把帶有“惡魔召喚師”的自己的mod發(fā)布到了curseforge，從而被越來越多的人接觸！

隨后傳來的消息更是令人恐懼：受害者已經(jīng)開始涌現(xiàn)，這時curseforge的回復(fù)把事件的走向帶入了進一步的深淵：之所以Better MC，When Dungeon Arise，中世紀(jì)MC等高版本熱門冒險包陸續(xù)中招，是因為這些包的作者團隊Luna Pixel Studios的其中一個成員的早以變成了受害者，壞比直接用受害者的身份通過網(wǎng)頁（而非API）上傳了更新。這次更新讓玩家下載了帶有了fractureiser的mod，于是產(chǎn)生了巨量傳播。

Curseforge快速響應(yīng)，刪除了對應(yīng)的文件，ban了對應(yīng)的人（包括LPS團隊的那個受害者），快速發(fā)布了自檢程序。同時好消息傳來——因為ip已經(jīng)被拿下，“惡魔召喚師”文件無法下載“惡魔”文件，所以對于當(dāng)時還沒感染玩家來說，fractureiser暫時進入了休眠期。

更多的好消息傳來。之前被社區(qū)緊密監(jiān)控的域名果然換了ip。社區(qū)得以以最快速度通知所有能通知到的人。之前的舉辦也終于有了效果，該域名被關(guān)閉。就在社區(qū)繼續(xù)舉辦新ip的時候，壞比可能是因為手抖，不小心在新ip放出了沒有被混淆的“惡魔”文件——之前我都一直沒有提的一個技術(shù)難點是，這些惡意文件參雜了大量無用或非惡意的代碼，就是為了讓反編譯的人沒有辦法一眼理解代碼的功能。我們目前判斷壞比是手抖，是因為它很快一個混淆版本的“惡魔”文件所替代。隨之而來的是另一個針對spigot服的古早malware，skyrage updater。就在這篇專欄投稿的一小時前，第二個ip也被拿下?？梢哉f，fractureiser算是真的進入了冬眠期。

第二章?縱波之后

地震分為縱波和橫波。而破壞力較低的縱波總比破壞力強得多的橫波先到達。如之前所說，這次fractureiser事件影響時間非常之早，而你如果游玩過大型整合包就知道，MC Modding社區(qū)之大，就算是只列“知名”mod那也是幾百的數(shù)量級。除了玩家信息被竊取之外，到底有多少mod作者的帳號受到影響完全是未知數(shù)。而如果壞比有能力把已經(jīng)影響到的mod作者的電腦塞入一個也在休眠，但等風(fēng)波之后能再引爆的木馬，那這次風(fēng)波帶來的影響將無窮無盡。舉個例子，Sophisticated Backpack/Storage，也就是高版本mod玩家很可能非常熟悉的精致背包/精致存儲mod也已經(jīng)被懷疑成為了受害者，攜帶了木馬。這也是為什么雖然目前事件已經(jīng)看起來塵埃落定，但社區(qū)的說明文檔依然強烈建議大家采取保守措施的原因。

一次地震，縱波之后橫波肯定會來。但就算橫波不一定發(fā)生，你也理應(yīng)當(dāng)成肯定會發(fā)生一樣，趁著還有口氣趕緊逃命。而抱有僥幸心理的人，你至少要知道，更有毀滅性的橫波完全可能降臨。

第三章 雜項與這篇專欄的更新

更詳細(xì)的技術(shù)細(xì)節(jié)和本篇專欄的核心信息來源于如今已經(jīng)搬到github上的社區(qū)文檔。撰文本身是筆者原創(chuàng)。github鏈接：github.com/fractureiser-investigation/fractureiser

雖然感覺文章內(nèi)容可能會被剽竊，心里多少有點不爽，但是無論如何讓更多人知道還是更好的。你如果確實要剽竊然后看到這里了，懇求你至少能在你的介紹或者評論區(qū)留下這篇專欄的信息。國內(nèi)在這方面的惡臭甚至已經(jīng)相當(dāng)程度上導(dǎo)致我們國家在AI賽道上的落后了，希望你們能在給家里孩子賺奶粉錢的同時，也有些起碼的道德。

該malware的project內(nèi)部名稱為nekoClient，多少可能還是個二次元。哈哈。

筆者會之后繼續(xù)在這篇專欄更新最新進展。最后估計的確會變成標(biāo)題所說的“完整始末”吧。

事發(fā)突然，發(fā)這篇專欄不是為了你的點贊硬幣收藏。如果你身邊有玩mc mod的朋友，筆者強烈建議把這篇專欄轉(zhuǎn)發(fā)給他們！