转载自https://prismlauncher.org/news/cf-compromised-alert/

有关最新消息，请查看此文档： https://hackmd.io/B46EYzKXSfWSF35DeCZz9A

多个组织报告称 CurseForge 和 Bukkit 受到威胁。各种项目中都上传了恶意软件，这可能是 Overwolf 平台中的一个安全漏洞。我们建议目前不要从 CurseForge 和 Bukkit 下载或更新任何 Mod，随着更多信息的提供，我们将向您提供最新消息。

此外，还有迹象表明恶意软件是自我复制的，这就是为什么你现在应该避免玩 Minecraft。

请注意，这只适用于已知的受损jars。有可能传播更高级的恶意软件，删除这些文件并不意味着你100%安全。目前请假设CurseForge上的任何文件都是不安全的。旧版本已被发现被修改。此外，还有迹象表明恶意软件是自我复制的，这就是为什么你现在应该避免玩Minecraft。

在检查您是否被感染时，请确保 隐藏文件可见，对于 windows，还应针对您各自的平台禁用隐藏受保护的操作系统文件。

恶意软件的第 1 阶段试图将文件放入以下位置：

Linux:

在~/.config/systemd/user或/etc/systemd/system/中的 systemd-utility.service 和~/.config/.data中的lib.jar中找到它，并检查 SystemCTL 是否有任何更改

Windows: %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar (或者 ~\AppData\Local\Microsoft Edge\libWebGL64.jar)

是的，带空格的“Microsoft Edge”

还要检查注册表中HKCU:\Software\Microsoft\Windows\CurrentVersion\Run中的条目

或%appdata%\Microsoft\Windows\「开始」菜单\程序\启动中的快捷方式`

如果文件由于在“Open JDK Binary”中打开而无法删除，您可以使用https://learn.microsoft.com/en-us/sysinternals/downloads/autoruns查看哪些应用程序正在启动，并禁用/删除“libWebGL64.jar”的启动规则

另一种解决方案是删除 java，使其无法在 java Runtime Environment 中运行，然后您可以通过将 jar 定位在%localappdata%\Microsoft Edge中以及HKCU:\Software\Microsoft\Windows\CurrentVersion\run中的一个条目或%appdata%\Microsoft\Windows\「开始」菜单\程序\启动中的快捷方式来删除 jar

所有其他操作系统: 不受影响。该恶意软件仅针对 Windows 和 Linux 进行硬编码。它可能会在未来收到为其他操作系统添加有效载荷的更新。

在下载之前，恶意软件将创建封闭目录（如果不存在）。Windows/MS Edge 不使用Microsoft Edge带空格目录，Linux 软件也可能不使用~/.config/.data，因此这些文件夹的存在可能表明第 1 阶段已在受害者计算机上执行。

如果 stage2 成功下载，它将尝试通过修改 Windows 注册表或将 systemd 单元放入/etc/systemd来启动。（此负载的 Linux 端不太可能工作，因为它需要 root 权限。）

如果您感染了病毒并已成功将其删除，请确保更改您的所有密码，因为病毒很可能正在提取您所有浏览器保存的密码

有迹象表明该恶意软件正在自我复制。显然，恶意软件会扫描你的电脑，寻找 MOD 和 Minecraft jar，并将自己注入其中。暂时不要启动 Minecraft。

@PandaNinjas 报道：

使用防火墙阻止到 85.217.144.130 的出站连接，并修改主机文件以包括0.0.0.0 files-8ie.pages.dev。在 linux 上，将该行添加到/etc/hosts，在 Windows 上，将其添加到C:\windows\system32\drivers\etc\hosts

@orowith2os 建议：

如果使用 Linux，请使用PrismLauncher Flatpak: https://flathub.org/apps/org.prismlauncher.PrismLauncher并且要非常小心通过 Flatseal 等实用程序给它提供的访问权限。默认情况下，它无法访问危害系统的所需目录。 其他沙箱逃逸可能是可能的，但恶意软件很可能无法解释在这种沙箱中运行的原因。

@Getchoo发布了一个linux和windows命令行脚本，可以快速检查这些文件是否存在：

Windows:

要使用此文件，请按 Windows 键+R，然后粘贴并运行

下载 Windows 脚本

Linux:

若要使用此文件，请运行

下载 Linux 脚本

据 Luna Pixel Studios 称，“数十个 mods 和 modpack，主要在 1.16.5、1.18.2 和 1.19.2 上，已更新为包含恶意文件。”

目前确认的受影响的 MOD 和 MODPack 如下：

在这一点上，我们有足够的样本来知道这是相当普遍的

CurseForge:

Dungeons Arise(地牢浮现之时)

Sky Villages(天空村庄)

Better MC modpack series(更好的我的世界系列整合包)

Fabuously Optimized(发现未被泄露)

Dungeonz

Skyblock Core

Vault Integrations

AutoBroadcast

Museum Curator Advanced

Vault Integrations Bug fix

Create Infernal Expansion Plus - Mod removed from CurseForge

Bukkit:

Display Entity Editor

Haven Elytra

The Nexus Event Custom Entity Editor

Simple Harvesting

MCBounties

Easy Custom Foods

Anti Command Spam Bungeecord Support

Ultimate Leveling

Anti Redstone Crash

Hydration

Fragment Permission Plugin

No VPNS

Ultimate Titles Animations Gradient RGB

Floating Damage

Luna Pixel Studios 表示，很可能有人找到了绕过 2fa 并登录多个大型 CurseForge 个人资料的方法。CurseForge 配置文件还显示有人直接登录。

注意：早在 4 月中旬就发现了带有类似恶意软件的插件。

许多 CurseForge 和 dev.bukkit.org（而不是 bukkit 软件本身）帐户已被泄露，许多流行的插件和 mod 中都注入了恶意软件。早在 5 月 22 日就有恶意插件/mod JAR 的报告。

在另行通知之前，不要使用官方的 CurseForge 启动器，也不要从 CurseForger 或 Bukkit 插件库下载任何东西。 虽然该恶意软件的控制服务器目前处于离线状态，过去 2-3 周内从 CurseForge 或 Bukkit 插件库下载的任何内容都应被视为潜在恶意。Windows Defender 或类似的反恶意软件产品不太可能检测到此恶意软件。

如果您已经从 CurseForge 下载了任何 mod，或从 Bukkit 下载了插件，甚至通过 Prism Launcher 或官方 CurseForge Launcher 等客户端下载了任何插件，建议您遵循下面的“我感染了吗？”指南。

受影响的帐户启用了双因素身份验证。这不太可能是一个简单的密码折衷情况；它可能是授权令牌折衷或 CF 方面更大的东西。多个帐户受到影响，所以我们不认为这是孤立的。

目前，我们不怀疑 Modrinth 等其他平台会受到影响。

我们已经发现，这种病毒窃取的信息很可能与微软的凭据和浏览器保存的密码有关 清除病毒后重置所有密码

一些 modpack 在作者不知情的情况下为其发布了更新，增加了对恶意 mod 的依赖性。这些更新在上传后立即存档，这意味着它们仅通过 API 不会显示在 web UI 上

我们无法判断恶意的 mod 是否总是恶意的，或者它们是否被编辑了。他们在过去几周上传了日期。由于 CurseForge 使用了极其过时和不安全的 MD5 来验证下载，CDN 泄露或缓存中毒并非不可能。

请在 hackmd 文档中查找最新的技术信息（现在不可公开编辑）-https://hackmd.io/B46EYzKXSfWSF35DeCZz9A

@orowith2os 说：

注意：我不懂 Java，这只是我尽我所能理解我所看到的。 其他人很可能能够在这些信息的基础上进行构建，并更详细地解释它。

快速查看反编译的源代码，它确实无法在默认的 Prism Launcher Flatpak 沙盒中运行；当前的恶意软件对用户的~/.config/目录进行硬编码。如果应用程序无法访问该真实路径，则在 Flatpak 沙盒内创建文件将导致其被写入 tmpfs，而 tmpfs 在沙盒重新启动时会被擦除。systemd 在 Flatpak 沙盒中也不可用，因此执行该命令将失败。恶意软件似乎没有试图绕过这些限制，并假设它是在不受限制的情况下运行的。

@getchoo 及 @Scrumplex 说：

注意：当在用户级别（即，不是作为 root 用户）运行 Prism Launcher 时，恶意软件第 1 阶段安装的服务将仅在用户级别提供，但由于 WantedBy 字段无效，这些服务将不起作用。

这意味着大多数 Linux 用户可能不受此影响，但由于文件仍然存在，可能会构成威胁，因此仍然建议手动检查文件或运行脚本将其从系统中删除。

https://hackmd.io/B46EYzKXSfWSF35DeCZz9A

不要在 CURSEFORGE 上更新 Mod 或整合包。

Luna Pixel Studios 已经将几个新文件上传到了项目中，包括 Sky Villages、When Dungeons Arise 和 Better MC。这些文件可能包括也可能不包括恶意文件。我们对此不负责任，目前正在尽一切努力删除这些文件。

这可能是由于 CurseForge 漏洞，或者有人可以访问 Luna Pixel Studios 帐户，甚至是 CurseForge 本身。

目前，在这个问题得到解决之前，最好避免从 CurseForge 下载文件。当这件事解决后，我会告诉大家的。

谢谢。

为了澄清一些问题：

任何使用 CurseForge API 的启动程序都会受到影响，但只要不下载这些文件，就可以确保安全。

除非你特别告诉启动程序，否则任何东西都不会自动更新。

这些文件未被确认为恶意文件，但我们仍然建议使用 Windows Defender 进行防病毒扫描。

摘要：

截至几个小时前，数十个 mods 和 modpack，主要是在 1.16.5、1.18.2 和 1.19.2 上，已经更新为包含恶意文件。这些项目包括《当地下城崛起》、《天空村庄》和《更好的 MC》modpack 系列。这些帐户的 CurseForge 配置文件显示有人直接登录。

很可能有人访问了几个大型 CurseForge 配置文件，并找到了绕过 2FA 登录的方法。

你可以在这里看到，Fabulously Optimized 团队也受到了影响：https://cdn.discordapp.com/attachments/790275974503202857/1115801834746023946/image.png

其中一个恶意 mods，DungeonsX，在反编译时显示以下代码：https://cdn.discordapp.com/attachments/790275974503202857/1115801511411335228/image.png

从该代码发送的主要有效载荷可以在此处查看：https://pastebin.com/k2ZQKbEz

DungeonsX mod 下载一个 jar 文件并将其加载到 minecraft 中，执行一个再次下载程序的功能，并将其保存为一个自运行文件。这个 mod 已经被添加到 Luna Pixel Studio 的所有 mod 包中，这些文件立即被坏演员存档。可以假设，这些文件稍后将再次可用，使数十万人暴露在恶意软件之下。

此代码允许将 mod 用作僵尸网络，并在设备上留下后门：https://chorb.is-from.space/DiscordPTB_gzDJsWklzc.png

正在执行的代码主要针对 Linux 用户，可能是为了感染服务器。这仍然会影响 Windows 上的用户。

此事件中唯一尚未存档的文件是https://www.curseforge.com/minecraft/mc-mods/skyblock-core/files/4570565。 该文件已存档，但在那段时间内获得了 10 次下载，这意味着它正在其他平台上共享：https://cdn.discordapp.com/attachments/856652644113580072/1115811476591095908/image.png

我们有理由相信，CurseForge 上的许多帐户都被黑客入侵，并正在上传包含机器人网络的恶意文件。Luna Pixel Studios 是许多大型 modpack 的所有者，也是受影响的账户之一。 目前正在积极调查这一情况。