CurseForge і Bukkit зламані

Модороби повідомляють про злам CurseForge і Bukkit. Шкідливе ПЗ було знайдено в популярних модах, модпаках і плагінах. Якщо ви завантажували щось із цих сайтів за останню добу - рекомендуємо видалити ці файли та перевірити ваш комп'ютер на віруси. Список підтверджених зламаних доповнень ви можете знайти в джерелі.

У заражених файлах було виявлено код, що натякає на можливість самореплікації вірусу. Це означає, що він може впроваджуватися в інші моди та, можливо, в сам Minecraft. Наразі неясно, чи використовувалася ця можливість. Рекомендується перестрахуватися і не запускати Minecraft!

За даними Luna Pixel Studios, "десятки модів і пакетів модів, здебільшого для 1.16.5, 1.18.2 і 1.19.2, було оновлено для включення шкідливих файлів".

Наразі підтверджено такі зачеплені моди й пакети модів:

CurseForge:

Dungeons Arise
Sky Villages
Better MC modpack series
Dungeonz
Skyblock Core
Vault Integrations
AutoBroadcast
Museum Curator Advanced
Vault Integrations Bug fix
Create Infernal Expansion Plus - мод удален с CurseForge

Bukkit:

Display Entity Editor
Haven Elytra
The Nexus Event Custom Entity Editor
Simple Harvesting
MCBounties
Easy Custom Foods
Anti Command Spam Bungeecord Support
Ultimate Leveling
Anti Redstone Crash
Hydration
Fragment Permission Plugin
No VPNS
Ultimate Titles Animations Gradient RGB
Floating Damage

Докладна інформація: https://hackmd.io/B46EYzKXSfWSF35DeCZz9A

Якщо у вас з'явилися незнайомі сервери у Discord, то найімовірніше ваш пк заражений.

Перевіряючи, чи не заражені ви, переконайтеся, що приховані файли видимі, а для Windows також вимкнено Hide protected operating system files для відповідної платформи.

Етап 1 шкідливого ПЗ намагається помістити файл у такі місця:

Лінукс

Знайдіть його в systemd-utility.service в ~/.config/systemd/user або /etc/systemd/system/ і lib.jar в ~/.config/.data і перевірте SystemCTL на наявність змін.

Windows: %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar(або ~\AppData\Local\Microsoft Edge\libWebGL64.jar)

Так, "Microsoft Edge" із пропуском

Також перевірте реєстр на наявність запису в HKCU:\Software\Microsoft\Windows\CurrentVersion\Run

Або ярлик у%appdata%\Microsoft\Windows\Start Menu\Programs\Startup

Якщо файл неможливо видалити через те, що він відкритий у "Відкритому двійковому файлі JDK", ви можете використати https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns, щоб побачити, які додатки запускаються і відключаються. /видалити правило запуску для "libWebGL64.jar"

Інше рішення полягає в тому, щоб видалити java, щоб він не міг працювати в середовищі виконання Java, а потім ви можете видалити банку, знайшовши її в %localappdata%\Microsoft Edge і запис в HKCU:\Software\Microsoft\Windows\CurrentVersion\Run або ярлик в %appdata%\Microsoft\Windows\Start Menu\Programs\Startup.

Усі інші ОС: не зачеплені. Шкідник жорстко запрограмований тільки для Windows і Linux. Можливо, у майбутньому він отримає оновлення, що додасть корисні навантаження для інших ОС.

Перед завантаженням шкідливе ПЗ створить вкладений каталог, якщо він не існує. Windows/MS Edge не використовує каталог "Microsoft Edge" з пропуском, а програмне забезпечення Linux, найімовірніше, не використовує ~/.config/.data, тому наявність цих папок може бути ознакою виконання етапу 1 на комп'ютері-жертві.

Якщо stage2 успішно завантажиться, він спробує запуститися під час завантаження, змінивши реєстр Windows або перетягнувши модуль systemd в /etc/systemd. (Сторона цього корисного навантаження для Linux навряд чи буде працювати, оскільки для неї потрібні привілеї root

Якщо у вас є вірус, і ви успішно видалили його, обов'язково змініть ВСІ ВАШІ ПАРОЛІ, тому що досить імовірно, що вірус витягує всі паролі, збережені у ваших браузерах.

Є ознаки того, що шкідливе ПЗ є самовідтворюваним. Мабуть, шкідливе ПЗ сканує ваш комп'ютер на наявність модів і jar-файлів Minecraft і впроваджується в них. Не запускайте Майнкрафт поки що.

Використовуйте брандмауер, щоб заблокувати вихідні підключення до 85[.]217[.]144[.]130, і змініть файл hosts, щоб включити до нього 0.0.0.0.0 files-8ie.pages.devLinux додайте цей рядок до /etc/hosts, у Windows додайте цей рядок до C:\Windows \system32\драйвери\etc\хост

PandaNinjas

@Getchoo випустив скрипт командного рядка для Linux і Windows, щоб швидко перевірити, чи існують ці файли:

Windows:
$appData = "$HOME\AppData"
$edgePath = "$appData\Local\Microsoft Edge"

$badPaths = @(
"$edgePath\.ref",
"$edgePath\client.jar"
"$edgePath\lib.dll",
"$edgePath\libWebGL64.jar",
"$edgePath\run.bat",
"$appData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat",
"HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\t"
)

$res = $false

ForEach ($Path in $badPaths) {
if (Test-Path -Path $Path) {
Write-Host "bad file found! removing $Path..."
Remove-Item -Force $Path
$res = $true
}
}

if (!($res)) {
Write-Host "nothing found! :)"
}

Read-Host -Prompt "press any button to exit"

"Щоб використовувати цей файл, натисніть клавішу Windows + R, потім вставте і запустіть `powershell -executionpolicy bypass -file "%UserProfile%\Downloads\check_cf.ps1"`"

Linux:
#!/usr/bin/env bash

service_file="systemd-utility"
data_dir="$HOME/.config/.data"
bad_paths=(
"$data_dir/.ref"
"$data_dir/client.jar"
"$data_dir/lib.jar"
"$HOME/.config/systemd/user/$service_file"
"/etc/systemd/system/$service_file"
)

res="true"
for path in "${bad_paths[@]}"; do
if [ -f "$path" ]; then
echo "bad file found! removing $path..."
rm --force "$path"
res="false"
fi
done

if [ "$res" == "true" ]; then
echo "nothing found :)"
fi

"To use this file, run `curl -fsSL https://prismlauncher.org/img/news/cf-compromised/check_cf.sh | bash`"

Детальніше можна прочитати тут: https://prismlauncher.org/news/cf-compromised-alert/

#	Index	Value
1	Views	117
2	Interactions	0
3	Likes	0
4	Dislikes
5	Comments	0

CurseForge і Bukkit зламані

Припущення

Як перевірити віруси вручну

Автоматичний сценарій