CurseForge 和 Bukkit 平臺(tái)中的安全漏洞

轉(zhuǎn)載自https://prismlauncher.org/news/cf-compromised-alert/

有關(guān)最新消息，請(qǐng)查看此文檔： https://hackmd.io/B46EYzKXSfWSF35DeCZz9A

多個(gè)組織報(bào)告稱 CurseForge 和 Bukkit 受到威脅。各種項(xiàng)目中都上傳了惡意軟件，這可能是 Overwolf 平臺(tái)中的一個(gè)安全漏洞。我們建議目前不要從 CurseForge 和 Bukkit 下載或更新任何 Mod，隨著更多信息的提供，我們將向您提供最新消息。

此外，還有跡象表明惡意軟件是自我復(fù)制的，這就是為什么你現(xiàn)在應(yīng)該避免玩 Minecraft。

我能做什么？

請(qǐng)注意，這只適用于已知的受損jars。有可能傳播更高級(jí)的惡意軟件，刪除這些文件并不意味著你100%安全。目前請(qǐng)假設(shè)CurseForge上的任何文件都是不安全的。舊版本已被發(fā)現(xiàn)被修改。此外，還有跡象表明惡意軟件是自我復(fù)制的，這就是為什么你現(xiàn)在應(yīng)該避免玩Minecraft。

手動(dòng)檢查

在檢查您是否被感染時(shí)，請(qǐng)確保 隱藏文件可見，對(duì)于 windows，還應(yīng)針對(duì)您各自的平臺(tái)禁用隱藏受保護(hù)的操作系統(tǒng)文件。

惡意軟件的第 1 階段試圖將文件放入以下位置：

• Linux:

• 在~/.config/systemd/user或/etc/systemd/system/中的 systemd-utility.service 和~/.config/.data中的lib.jar中找到它，并檢查 SystemCTL 是否有任何更改

• Windows: %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar (或者 ~\AppData\Local\Microsoft Edge\libWebGL64.jar)

• 是的，帶空格的“Microsoft Edge”

• 還要檢查注冊(cè)表中HKCU:\Software\Microsoft\Windows\CurrentVersion\Run中的條目

• 或%appdata%\Microsoft\Windows\「開始」菜單\程序\啟動(dòng)中的快捷方式`

• 如果文件由于在“Open JDK Binary”中打開而無法刪除，您可以使用https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns查看哪些應(yīng)用程序正在啟動(dòng)，并禁用/刪除“l(fā)ibWebGL64.jar”的啟動(dòng)規(guī)則

• 另一種解決方案是刪除 java，使其無法在 java Runtime Environment 中運(yùn)行，然后您可以通過將 jar 定位在%localappdata%\Microsoft Edge中以及HKCU:\Software\Microsoft\Windows\CurrentVersion\run中的一個(gè)條目或%appdata%\Microsoft\Windows\「開始」菜單\程序\啟動(dòng)中的快捷方式來刪除 jar

• 所有其他操作系統(tǒng): 不受影響。該惡意軟件僅針對(duì) Windows 和 Linux 進(jìn)行硬編碼。它可能會(huì)在未來收到為其他操作系統(tǒng)添加有效載荷的更新。

在下載之前，惡意軟件將創(chuàng)建封閉目錄（如果不存在）。Windows/MS Edge 不使用Microsoft Edge帶空格目錄，Linux 軟件也可能不使用~/.config/.data，因此這些文件夾的存在可能表明第 1 階段已在受害者計(jì)算機(jī)上執(zhí)行。

如果 stage2 成功下載，它將嘗試通過修改 Windows 注冊(cè)表或?qū)?systemd 單元放入/etc/systemd來啟動(dòng)。（此負(fù)載的 Linux 端不太可能工作，因?yàn)樗枰?root 權(quán)限。）

如果您感染了病毒并已成功將其刪除，請(qǐng)確保更改您的所有密碼，因?yàn)椴《竞芸赡苷谔崛∧袨g覽器保存的密碼

有跡象表明該惡意軟件正在自我復(fù)制。顯然，惡意軟件會(huì)掃描你的電腦，尋找 MOD 和 Minecraft jar，并將自己注入其中。暫時(shí)不要啟動(dòng) Minecraft。

@PandaNinjas 報(bào)道：

使用防火墻阻止到 85.217.144.130 的出站連接，并修改主機(jī)文件以包括0.0.0.0 files-8ie.pages.dev。在 linux 上，將該行添加到/etc/hosts，在 Windows 上，將其添加到C:\windows\system32\drivers\etc\hosts

@orowith2os 建議：

如果使用 Linux，請(qǐng)使用PrismLauncher Flatpak: https://flathub.org/apps/org.prismlauncher.PrismLauncher并且要非常小心通過 Flatseal 等實(shí)用程序給它提供的訪問權(quán)限。默認(rèn)情況下，它無法訪問危害系統(tǒng)的所需目錄。 其他沙箱逃逸可能是可能的，但惡意軟件很可能無法解釋在這種沙箱中運(yùn)行的原因。

自動(dòng)化腳本

@Getchoo發(fā)布了一個(gè)linux和windows命令行腳本，可以快速檢查這些文件是否存在：

Windows:

要使用此文件，請(qǐng)按 Windows 鍵+R，然后粘貼并運(yùn)行

下載 Windows 腳本

Linux:

若要使用此文件，請(qǐng)運(yùn)行

下載 Linux 腳本

誰受到了影響（到目前為止）

據(jù) Luna Pixel Studios 稱，“數(shù)十個(gè) mods 和 modpack，主要在 1.16.5、1.18.2 和 1.19.2 上，已更新為包含惡意文件。”

目前確認(rèn)的受影響的 MOD 和 MODPack 如下：

在這一點(diǎn)上，我們有足夠的樣本來知道這是相當(dāng)普遍的

CurseForge:

• Dungeons Arise(地牢浮現(xiàn)之時(shí))

• Sky Villages(天空村莊)

• Better MC modpack series(更好的我的世界系列整合包)

• Fabuously Optimized(發(fā)現(xiàn)未被泄露)

• Dungeonz

• Skyblock Core

• Vault Integrations

• AutoBroadcast

• Museum Curator Advanced

• Vault Integrations Bug fix

• Create Infernal Expansion Plus - Mod removed from CurseForge

Bukkit:

• Display Entity Editor

• Haven Elytra

• The Nexus Event Custom Entity Editor

• Simple Harvesting

• MCBounties

• Easy Custom Foods

• Anti Command Spam Bungeecord Support

• Ultimate Leveling

• Anti Redstone Crash

• Hydration

• Fragment Permission Plugin

• No VPNS

• Ultimate Titles Animations Gradient RGB

• Floating Damage

Luna Pixel Studios 表示，很可能有人找到了繞過 2fa 并登錄多個(gè)大型 CurseForge 個(gè)人資料的方法。CurseForge 配置文件還顯示有人直接登錄。

我們對(duì)惡意軟件的了解

注意：早在 4 月中旬就發(fā)現(xiàn)了帶有類似惡意軟件的插件。

許多 CurseForge 和 dev.bukkit.org（而不是 bukkit 軟件本身）帳戶已被泄露，許多流行的插件和 mod 中都注入了惡意軟件。早在 5 月 22 日就有惡意插件/mod JAR 的報(bào)告。

在另行通知之前，不要使用官方的 CurseForge 啟動(dòng)器，也不要從 CurseForger 或 Bukkit 插件庫(kù)下載任何東西。 雖然該惡意軟件的控制服務(wù)器目前處于離線狀態(tài)，過去 2-3 周內(nèi)從 CurseForge 或 Bukkit 插件庫(kù)下載的任何內(nèi)容都應(yīng)被視為潛在惡意。Windows Defender 或類似的反惡意軟件產(chǎn)品不太可能檢測(cè)到此惡意軟件。

如果您已經(jīng)從 CurseForge 下載了任何 mod，或從 Bukkit 下載了插件，甚至通過 Prism Launcher 或官方 CurseForge Launcher 等客戶端下載了任何插件，建議您遵循下面的“我感染了嗎？”指南。

受影響的帳戶啟用了雙因素身份驗(yàn)證。這不太可能是一個(gè)簡(jiǎn)單的密碼折衷情況；它可能是授權(quán)令牌折衷或 CF 方面更大的東西。多個(gè)帳戶受到影響，所以我們不認(rèn)為這是孤立的。

目前，我們不懷疑 Modrinth 等其他平臺(tái)會(huì)受到影響。

我們已經(jīng)發(fā)現(xiàn)，這種病毒竊取的信息很可能與微軟的憑據(jù)和瀏覽器保存的密碼有關(guān) 清除病毒后重置所有密碼

分配

一些 modpack 在作者不知情的情況下為其發(fā)布了更新，增加了對(duì)惡意 mod 的依賴性。這些更新在上傳后立即存檔，這意味著它們僅通過 API 不會(huì)顯示在 web UI 上

我們無法判斷惡意的 mod 是否總是惡意的，或者它們是否被編輯了。他們?cè)谶^去幾周上傳了日期。由于 CurseForge 使用了極其過時(shí)和不安全的 MD5 來驗(yàn)證下載，CDN 泄露或緩存中毒并非不可能。

技術(shù)信息

請(qǐng)?jiān)?hackmd 文檔中查找最新的技術(shù)信息（現(xiàn)在不可公開編輯）-https://hackmd.io/B46EYzKXSfWSF35DeCZz9A

@orowith2os 說：

注意：我不懂 Java，這只是我盡我所能理解我所看到的。 其他人很可能能夠在這些信息的基礎(chǔ)上進(jìn)行構(gòu)建，并更詳細(xì)地解釋它。

快速查看反編譯的源代碼，它確實(shí)無法在默認(rèn)的 Prism Launcher Flatpak 沙盒中運(yùn)行；當(dāng)前的惡意軟件對(duì)用戶的~/.config/目錄進(jìn)行硬編碼。如果應(yīng)用程序無法訪問該真實(shí)路徑，則在 Flatpak 沙盒內(nèi)創(chuàng)建文件將導(dǎo)致其被寫入 tmpfs，而 tmpfs 在沙盒重新啟動(dòng)時(shí)會(huì)被擦除。systemd 在 Flatpak 沙盒中也不可用，因此執(zhí)行該命令將失敗。惡意軟件似乎沒有試圖繞過這些限制，并假設(shè)它是在不受限制的情況下運(yùn)行的。

@getchoo 及 @Scrumplex 說：

注意：當(dāng)在用戶級(jí)別（即，不是作為 root 用戶）運(yùn)行 Prism Launcher 時(shí)，惡意軟件第 1 階段安裝的服務(wù)將僅在用戶級(jí)別提供，但由于 WantedBy 字段無效，這些服務(wù)將不起作用。

這意味著大多數(shù) Linux 用戶可能不受此影響，但由于文件仍然存在，可能會(huì)構(gòu)成威脅，因此仍然建議手動(dòng)檢查文件或運(yùn)行腳本將其從系統(tǒng)中刪除。

參考

https://hackmd.io/B46EYzKXSfWSF35DeCZz9A

Luna Pixel Studios

不要在 CURSEFORGE 上更新 Mod 或整合包。

Luna Pixel Studios 已經(jīng)將幾個(gè)新文件上傳到了項(xiàng)目中，包括 Sky Villages、When Dungeons Arise 和 Better MC。這些文件可能包括也可能不包括惡意文件。我們對(duì)此不負(fù)責(zé)任，目前正在盡一切努力刪除這些文件。

這可能是由于 CurseForge 漏洞，或者有人可以訪問 Luna Pixel Studios 帳戶，甚至是 CurseForge 本身。

目前，在這個(gè)問題得到解決之前，最好避免從 CurseForge 下載文件。當(dāng)這件事解決后，我會(huì)告訴大家的。

謝謝。

為了澄清一些問題：

任何使用 CurseForge API 的啟動(dòng)程序都會(huì)受到影響，但只要不下載這些文件，就可以確保安全。

除非你特別告訴啟動(dòng)程序，否則任何東西都不會(huì)自動(dòng)更新。

這些文件未被確認(rèn)為惡意文件，但我們?nèi)匀唤ㄗh使用 Windows Defender 進(jìn)行防病毒掃描。

摘要：

截至幾個(gè)小時(shí)前，數(shù)十個(gè) mods 和 modpack，主要是在 1.16.5、1.18.2 和 1.19.2 上，已經(jīng)更新為包含惡意文件。這些項(xiàng)目包括《當(dāng)?shù)叵鲁轻绕稹?、《天空村莊》和《更好的 MC》modpack 系列。這些帳戶的 CurseForge 配置文件顯示有人直接登錄。

很可能有人訪問了幾個(gè)大型 CurseForge 配置文件，并找到了繞過 2FA 登錄的方法。

你可以在這里看到，F(xiàn)abulously Optimized 團(tuán)隊(duì)也受到了影響：https://cdn.discordapp.com/attachments/790275974503202857/1115801834746023946/image.png

其中一個(gè)惡意 mods，DungeonsX，在反編譯時(shí)顯示以下代碼：https://cdn.discordapp.com/attachments/790275974503202857/1115801511411335228/image.png

從該代碼發(fā)送的主要有效載荷可以在此處查看：https://pastebin.com/k2ZQKbEz

DungeonsX mod 下載一個(gè) jar 文件并將其加載到 minecraft 中，執(zhí)行一個(gè)再次下載程序的功能，并將其保存為一個(gè)自運(yùn)行文件。這個(gè) mod 已經(jīng)被添加到 Luna Pixel Studio 的所有 mod 包中，這些文件立即被壞演員存檔?？梢约僭O(shè)，這些文件稍后將再次可用，使數(shù)十萬人暴露在惡意軟件之下。

此代碼允許將 mod 用作僵尸網(wǎng)絡(luò)，并在設(shè)備上留下后門：https://chorb.is-from.space/DiscordPTB_gzDJsWklzc.png

正在執(zhí)行的代碼主要針對(duì) Linux 用戶，可能是為了感染服務(wù)器。這仍然會(huì)影響 Windows 上的用戶。

此事件中唯一尚未存檔的文件是https://www.curseforge.com/minecraft/mc-mods/skyblock-core/files/4570565。 該文件已存檔，但在那段時(shí)間內(nèi)獲得了 10 次下載，這意味著它正在其他平臺(tái)上共享：https://cdn.discordapp.com/attachments/856652644113580072/1115811476591095908/image.png

建議推遲更新任何 mods 或 modpack，直到問題得到解決

The Iris Project

我們有理由相信，CurseForge 上的許多帳戶都被黑客入侵，并正在上傳包含機(jī)器人網(wǎng)絡(luò)的惡意文件。Luna Pixel Studios 是許多大型 modpack 的所有者，也是受影響的賬戶之一。 目前正在積極調(diào)查這一情況。