CurseForge и Bukkit взломаны

Мододелы сообщают о взломе CurseForge и Bukkit. Вредоносное ПО было найдено в популярных модах, модпаках и плагинах. Если вы загружали что-то с этих сайтов за последние сутки - рекомендуем удалить эти файлы и проверить ваш компьютер на вирусы. Список подтверждённых взломанных дополнений вы можете найти в источнике.

В заражённых файлах был обнаружен код, намекающий на возможность саморепликации вируса. Это означает, что он может внедряться в другие моды и, возможно, в сам Minecraft. В настоящее время неясно, использовалась ли данная возможность. Рекомендуется перестраховаться и не запускать Minecraft!

По предварительным данным «десятки модов и пакетов модов, в основном для 1.16.5, 1.18.2 и 1.19.2, были обновлены для включения вредоносных файлов».

В настоящее время подтверждены следующие затронутые моды и пакеты модов:

CurseForge:

Dungeons Arise
Sky Villages
Better MC modpack series
Dungeonz
Skyblock Core
Vault Integrations
AutoBroadcast
Museum Curator Advanced
Vault Integrations Bug fix
Create Infernal Expansion Plus - мод удален с CurseForge

Bukkit:

Display Entity Editor
Haven Elytra
The Nexus Event Custom Entity Editor
Simple Harvesting
MCBounties
Easy Custom Foods
Anti Command Spam Bungeecord Support
Ultimate Leveling
Anti Redstone Crash
Hydration
Fragment Permission Plugin
No VPNS
Ultimate Titles Animations Gradient RGB
Floating Damage

Подробная информация: https://hackmd.io/B46EYzKXSfWSF35DeCZz9A

Если у вас появились незнакомые сервера в Discord, то вероятнее всего ваш пк заражен.

Проверяя, не заражены ли вы, убедитесь, что hidden files visible и для Windows также отключены Hide protected operating system files для соответствующей платформы.

Этап 1 вредоносного ПО пытается поместить файл в следующие места:

Линукс

Найдите его в systemd-utility.service в ~/.config/systemd/user или /etc/systemd/system/ и lib.jar в ~/.config/.data и проверьте SystemCTL на наличие изменений.

Windows: %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar(или ~\AppData\Local\Microsoft Edge\libWebGL64.jar)

Да, "Microsoft Edge" с пробелом

Также проверьте реестр на наличие записи вHKCU:\Software\Microsoft\Windows\CurrentVersion\Run

Или ярлык в%appdata%\Microsoft\Windows\Start Menu\Programs\Startup

Если файл невозможно удалить из-за того, что он открыт в «Открытом двоичном файле JDK», вы можете использовать https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns , чтобы увидеть, какие приложения запускаются и отключаются. /удалить правило запуска для "libWebGL64.jar"

Другое решение состоит в том, чтобы удалить java, чтобы он не мог работать в среде выполнения Java, а затем вы можете удалить банку, найдя ее в %localappdata%\Microsoft Edge и запись в HKCU:\Software\Microsoft\Windows\CurrentVersion\Run или ярлык в %appdata%\Microsoft\Windows\Start Menu\Programs\Startup

Все остальные ОС: не затронуты. Вредонос жестко запрограммирован только для Windows и Linux. Возможно, в будущем он получит обновление, добавляющее полезные нагрузки для других ОС.

Перед загрузкой вредоносное ПО создаст вложенный каталог, если он не существует. Windows/MS Edge не использует каталог «Microsoft Edge» с пробелом, а программное обеспечение Linux, скорее всего, не использует ~/.config/.data, поэтому наличие этих папок может быть признаком выполнения этапа 1 на компьютере-жертве.

Если stage2 успешно загрузится, он попытается запуститься при загрузке, изменив реестр Windows или перетащив модуль systemd в /etc/systemd. (Сторона этой полезной нагрузки для Linux вряд ли будет работать, поскольку для нее требуются привилегии root.)

Если у вас есть вирус, и вы успешно удалили его, обязательно измените ВСЕ ВАШИ ПАРОЛИ, так как весьма вероятно, что вирус извлекает все пароли, сохраненные в ваших браузерах.
Есть признаки того, что вредоносное ПО является самовоспроизводящимся. По-видимому, вредоносное ПО сканирует ваш компьютер на наличие модов и jar-файлов Minecraft и внедряется в них. Не запускайте Майнкрафт пока.

Используйте брандмауэр, чтобы заблокировать исходящие подключения к 85[.]217[.]144[.]130, и измените файл hosts, чтобы включить в него в 0.0.0.0 files-8ie.pages.devLinux добавьте эту строку в /etc/hosts, в Windows добавьте эту строку в C:\Windows \system32\драйверы\etc\хост

PandaNinjas

@Getchoo выпустил скрипт командной строки для Linux и Windows, чтобы быстро проверить, существуют ли эти файлы:

Windows:
$appData = "$HOME\AppData"
$edgePath = "$appData\Local\Microsoft Edge"

$badPaths = @(
"$edgePath\.ref",
"$edgePath\client.jar"
"$edgePath\lib.dll",
"$edgePath\libWebGL64.jar",
"$edgePath\run.bat",
"$appData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat",
"HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\t"
)

$res = $false

ForEach ($Path in $badPaths) {
if (Test-Path -Path $Path) {
Write-Host "bad file found! removing $Path..."
Remove-Item -Force $Path
$res = $true
}
}

if (!($res)) {
Write-Host "nothing found! :)"
}

Read-Host -Prompt "press any button to exit"

"Чтобы использовать этот файл, нажмите клавишу Windows + R, затем вставьте и запустите `powershell -executionpolicy bypass -file "%UserProfile%\Downloads\check_cf.ps1"`"

Linux:
#!/usr/bin/env bash

service_file="systemd-utility"
data_dir="$HOME/.config/.data"
bad_paths=(
"$data_dir/.ref"
"$data_dir/client.jar"
"$data_dir/lib.jar"
"$HOME/.config/systemd/user/$service_file"
"/etc/systemd/system/$service_file"
)

res="true"
for path in "${bad_paths[@]}"; do
if [ -f "$path" ]; then
echo "bad file found! removing $path..."
rm --force "$path"
res="false"
fi
done

if [ "$res" == "true" ]; then
echo "nothing found :)"
fi

"To use this file, run `curl -fsSL https://prismlauncher.org/img/news/cf-compromised/check_cf.sh | bash`"

Более подробно можно опчитать тут: https://prismlauncher.org/news/cf-compromised-alert/

#	Index	Value
1	Views	1125
2	Interactions	5
3	Likes	5
4	Dislikes
5	Comments	0

CurseForge и Bukkit взломаны

Предположение

Как проверить вирусы вручную

Автоматический сценарий