CurseForge і Bukkit зламані
Модороби повідомляють про злам CurseForge і Bukkit. Шкідливе ПЗ було знайдено в популярних модах, модпаках і плагінах. Якщо ви завантажували щось із цих сайтів за останню добу - рекомендуємо видалити ці файли та перевірити ваш комп'ютер на віруси. Список підтверджених зламаних доповнень ви можете знайти в джерелі.
У заражених файлах було виявлено код, що натякає на можливість самореплікації вірусу. Це означає, що він може впроваджуватися в інші моди та, можливо, в сам Minecraft. Наразі неясно, чи використовувалася ця можливість. Рекомендується перестрахуватися і не запускати Minecraft!

За даними Luna Pixel Studios, "десятки модів і пакетів модів, здебільшого для 1.16.5, 1.18.2 і 1.19.2, було оновлено для включення шкідливих файлів".
Наразі підтверджено такі зачеплені моди й пакети модів:
CurseForge:
- Dungeons Arise
- Sky Villages
- Better MC modpack series
- Dungeonz
- Skyblock Core
- Vault Integrations
- AutoBroadcast
- Museum Curator Advanced
- Vault Integrations Bug fix
- Create Infernal Expansion Plus - мод удален с CurseForge
Bukkit:
- Display Entity Editor
- Haven Elytra
- The Nexus Event Custom Entity Editor
- Simple Harvesting
- MCBounties
- Easy Custom Foods
- Anti Command Spam Bungeecord Support
- Ultimate Leveling
- Anti Redstone Crash
- Hydration
- Fragment Permission Plugin
- No VPNS
- Ultimate Titles Animations Gradient RGB
- Floating Damage
Докладна інформація: https://hackmd.io/B46EYzKXSfWSF35DeCZz9A
Припущення
Якщо у вас з'явилися незнайомі сервери у Discord, то найімовірніше ваш пк заражений.
Як перевірити віруси вручну
Перевіряючи, чи не заражені ви, переконайтеся, що приховані файли видимі, а для Windows також вимкнено Hide protected operating system files для відповідної платформи.
Етап 1 шкідливого ПЗ намагається помістити файл у такі місця:
Лінукс
Знайдіть його в systemd-utility.service в ~/.config/systemd/user або /etc/systemd/system/ і lib.jar в ~/.config/.data і перевірте SystemCTL на наявність змін.
Windows: %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar(або ~\AppData\Local\Microsoft Edge\libWebGL64.jar)
Так, "Microsoft Edge" із пропуском
Також перевірте реєстр на наявність запису в HKCU:\Software\Microsoft\Windows\CurrentVersion\Run
Або ярлик у%appdata%\Microsoft\Windows\Start Menu\Programs\Startup
Якщо файл неможливо видалити через те, що він відкритий у "Відкритому двійковому файлі JDK", ви можете використати https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns, щоб побачити, які додатки запускаються і відключаються. /видалити правило запуску для "libWebGL64.jar"
Інше рішення полягає в тому, щоб видалити java, щоб він не міг працювати в середовищі виконання Java, а потім ви можете видалити банку, знайшовши її в %localappdata%\Microsoft Edge і запис в HKCU:\Software\Microsoft\Windows\CurrentVersion\Run або ярлик в %appdata%\Microsoft\Windows\Start Menu\Programs\Startup.
Усі інші ОС: не зачеплені. Шкідник жорстко запрограмований тільки для Windows і Linux. Можливо, у майбутньому він отримає оновлення, що додасть корисні навантаження для інших ОС.
Перед завантаженням шкідливе ПЗ створить вкладений каталог, якщо він не існує. Windows/MS Edge не використовує каталог "Microsoft Edge" з пропуском, а програмне забезпечення Linux, найімовірніше, не використовує ~/.config/.data, тому наявність цих папок може бути ознакою виконання етапу 1 на комп'ютері-жертві.
Якщо stage2 успішно завантажиться, він спробує запуститися під час завантаження, змінивши реєстр Windows або перетягнувши модуль systemd в /etc/systemd. (Сторона цього корисного навантаження для Linux навряд чи буде працювати, оскільки для неї потрібні привілеї root
Є ознаки того, що шкідливе ПЗ є самовідтворюваним. Мабуть, шкідливе ПЗ сканує ваш комп'ютер на наявність модів і jar-файлів Minecraft і впроваджується в них. Не запускайте Майнкрафт поки що.
Використовуйте брандмауер, щоб заблокувати вихідні підключення до 85[.]217[.]144[.]130, і змініть файл hosts, щоб включити до нього 0.0.0.0.0 files-8ie.pages.devLinux додайте цей рядок до /etc/hosts, у Windows додайте цей рядок до C:\Windows \system32\драйвери\etc\хост
Автоматичний сценарій
@Getchoo випустив скрипт командного рядка для Linux і Windows, щоб швидко перевірити, чи існують ці файли:
$appData = "$HOME\AppData"
$edgePath = "$appData\Local\Microsoft Edge"
$badPaths = @(
"$edgePath\.ref",
"$edgePath\client.jar"
"$edgePath\lib.dll",
"$edgePath\libWebGL64.jar",
"$edgePath\run.bat",
"$appData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat",
"HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\t"
)
$res = $false
ForEach ($Path in $badPaths) {
if (Test-Path -Path $Path) {
Write-Host "bad file found! removing $Path..."
Remove-Item -Force $Path
$res = $true
}
}
if (!($res)) {
Write-Host "nothing found! :)"
}
Read-Host -Prompt "press any button to exit"
"Щоб використовувати цей файл, натисніть клавішу Windows + R, потім вставте і запустіть `powershell -executionpolicy bypass -file "%UserProfile%\Downloads\check_cf.ps1"`"
#!/usr/bin/env bash
service_file="systemd-utility"
data_dir="$HOME/.config/.data"
bad_paths=(
"$data_dir/.ref"
"$data_dir/client.jar"
"$data_dir/lib.jar"
"$HOME/.config/systemd/user/$service_file"
"/etc/systemd/system/$service_file"
)
res="true"
for path in "${bad_paths[@]}"; do
if [ -f "$path" ]; then
echo "bad file found! removing $path..."
rm --force "$path"
res="false"
fi
done
if [ "$res" == "true" ]; then
echo "nothing found :)"
fi
"To use this file, run `curl -fsSL https://prismlauncher.org/img/news/cf-compromised/check_cf.sh | bash`"
Детальніше можна прочитати тут: https://prismlauncher.org/news/cf-compromised-alert/
авторизуйтесь прежде чем оставлять комментарии