MC百科社群

标题: 【注意】暂时不要在任何平台下载任何模组、插件和整合包 [打印本页]

作者: QQ酱112579    时间: 2023-6-7 11:36
标题: 【注意】暂时不要在任何平台下载任何模组、插件和整合包
本帖最后由 QQ酱112579 于 2023-6-9 08:04 编辑

由于本人对论坛使用较为陌生,请在专栏查看:https://www.bilibili.com/read/cv24184930

(2023.6.7 9:00)截至几个小时前,数十种模组及其整合包,主要是在1.16.5、1.18.2和1.19.2上的模组已被更新,包括恶意文件。这些项目包括《When Dungeons Arise》、《Sky Villages》和《Better MC》系列整合包。这些账户的Curseforge资料显示有人直接登录它们。
这很可能是有人盗取了几个大的Curseforge账户,并找到了绕过2FA的方法来登录它们。Fabulously Optimized团队也受到了影响。(Fabulously Optimized目前被确认暂时没有风险)

其中一个恶意mods,DungeonsX,在反编译时显示了这样的代码:


从这段代码发出的主要有效载荷可以在这里看到:https://pastebin.com/k2ZQKbEz

DungeonsX mod下载一个jar文件并将其加载到minecraft中,执行一个函数,再次下载该程序,并将其保存为一个自运行文件。这个mod已经被添加到Luna Pixel Studio的所有mod包中,这些文件立即被坏蛋归档。可以推测,这些文件以后会再次出现,使数十万人暴露在恶意软件面前。

这段代码允许MOD被用作僵尸网络并在设备上留下后门,正在执行的代码主要针对Linux用户,很可能是为了感染服务器。这仍然会影响到Windows上的人。

建议在此问题被解决之前,暂缓在CurseForge下载或更新任何模组或整合包!(或者使用Modrinth)

如何删除
对于Unix: ~/.config/.data/lib.jar
对于Windows:%LOCALAPPDATA%/Microsoft Edge/libWebGL64.jar或~/AppData/Local/Microsoft Edge/libWebGL64.jar
如果你看到一个名为libWebGL64.jar的文件,请删除它。如果该文件存在,你需要启用 "查看隐藏文件 "来显示它。你可以在网上找到这方面的指南。

消息来源
https://discord.com/channels/741 ... 1115808196142043158
https://discord.com/channels/774 ... 1115816365044011090
https://www.bilibili.com/read/cv24184930
【紧急/扩散】不要从 Curseforge 下载模组或者整合包




作者: QQ酱112579    时间: 2023-6-7 15:40
以下内容部分来自:https://prismlauncher.org/news/cf-compromised-alert/
自动检测脚本:
Windows:https://prismlauncher.org/img/news/cf-compromised/check_cf.ps1

Linux:https://prismlauncher.org/img/news/cf-compromised/check_cf.sh

目前不止CurseForge,Bukkit也有受影响的插件,目前的列表如下:

Curseforge:

Dungeons Arise
Sky Villages
Better MC 系列
Dungeonz
Skyblock Core
Vault Integrations
AutoBroadcast
Museum Curator Advanced
Vault Integrations Bug fix
Create Infernal Expansion Plus - 模组已从 curseforge 删除

Bukkit:

Display Entity Editor
Haven Elytra
The Nexus Event Custom Entity Editor
Simple Harvesting
MCBounties
Easy Custom Foods
Anti Command Spam Bungeecord Support
Ultimate Leveling
Anti Redstone Crash
Hydration
Fragment Permission Plugin
No VPNS
Ultimate Titles Animations Gradient RGB
Floating Damage

Luna Pixel Studio表示,这很可能是有人找到了绕过2fa并登录到多个大型curseforge账号的方法。curseforge的资料也显示有人直接登录到它们。
作者: QQ酱112579    时间: 2023-6-7 15:45
本帖最后由 QQ酱112579 于 2023-6-7 16:16 编辑

CurseForge目前发布的公告(https://discord.com/channels/428 ... 1115907378244759584):

大家好,
我们想谈谈目前正在进行的情况,并强调一些重要的问题 :一个恶意用户创建了几个账户,并将含有恶意软件的项目上传到平台上。
另外,一个属于Luna Pixel studios(LPS)的用户被黑,被用来上传类似的恶意软件
我们已经禁止了所有与此相关的账户,并禁用了LPS的账户。我们正与LPS团队直接联系以帮助他们恢复访问。
我们正在检查所有的新项目和文件,以保证您的安全。当然,在这个问题解决之前,我们将 暂停所有新文件的审批程序。
删除你的CF客户端并不是一个推荐的解决方案,因为它不会解决这个问题,而且会阻止我们部署修复。
我们正在开发一个工具,以帮助你确保你没有接触到这些东西。同时,请参考在
作者: QQ酱112579    时间: 2023-6-7 15:48
本帖最后由 QQ酱112579 于 2023-6-7 15:49 编辑
QQ酱112579 发表于 2023-6-7 15:45
CurseForge目前发布的公告(https://discord.com/channels/428228256236306434/525372338653626389/1115907 ...


作者: QQ酱159513    时间: 2023-6-7 16:12
补充链接:https://hackmd.io/B46EYzKXSfWSF35DeCZz9A
作者: QQ酱159513    时间: 2023-6-7 19:15
https://www.bilibili.com/video/BV1jo4y1g7Xg/
更多的补充
作者: 137138    时间: 2023-6-9 19:34
CurseForge 已经完成了自检,目前从启动器内、CurseForge/Modrinth 网站新下载的 Mod 和整合包已经可以确认安全了,但从其他途径(例如 QQ)获取的 Mod 和整合包文件依然有潜在的风险。
部分杀毒软件已经可以扫描这个病毒了,且病毒的运行链已经被截断,所以至少目前它已经无法再感染新的电脑了。
---转载 从 龙猫
https://www.bilibili.com/read/cv24201292





欢迎光临 MC百科社群 (https://bbs.mcmod.cn/) MC百科|最大的MineCraft中文模组百科