Kéttucatnyi vírusos Minecraft-bővítményt töröltek le a legnagyobb modokkal foglalkozó platformról, a CurseForge-ról az elmúlt napokban, melyek feltételezhetően több százezer számítógépre lehettek telepítve. A CurseForge már dolgozik a problémák megoldásán, azonban addig is a felhasználók türelmét kérik.
Figyelmeztette felhasználóit a CurseForge, az egyik legnépszerűbb videojátékos platform, mely különböző pluginokat és modokat kínál a már kiadott játékok még izgalmasabbá és sokrétűbbé tételéhez. Az oldal alapvetően biztonságos, most azonban mégis úgy néz ki, hogy több tucatnyi, általuk elérhetővé tett ajánlatba kerülhetett rosszindulatú szoftver – melyek kivétel nélkül a világ legnépszerűbb játékához, a Minecrafthoz készültek.
A modfejlesztői fiókokat a CurseForge üzemeltette, a támadásban használt rosszindulatú fájlok létrehozásának ideje pedig néhány esetben egészen április közepéig visszanyúlik, ami egyértelműen arra utal, hogy a fiókok kompromittálása hetek óta aktív volt, sőt mi több, a CurseForge által üzemeltetett Bukkit.org fejlesztői platform is érintett lehet.
Mint az a Prism Launcher, az egyik nyílt forráskódú Minecraft-indítóprogram készítőjének nyilatkozatából kiderült, a Fracturiser nevezetű malware elsősorban Windows- és Linux-rendszereket fertőzött meg, elsősorban pedig a következő modokkal terjedt:
Dungeons Arise,
Sky Villages,
Better MC modpack series,
Dungeonz,
Skyblock Core,
Vault Integrations,
AutoBroadcast,
Museum Curator Advanced,
Vault Integrations Bug fix,
Create Infernal Expansion Plus.
Ezeken felül a CurseForge által működtetett Bukkitról is több modot el kellett távolítani, ezek a következők voltak:
Display Entity Editor,
Haven Elytra,
The Nexus Event Custom Entity Editor,
Simple Harvesting,
MCBounties,
Easy Custom Foods,
Anti Command Spam Bungeecord Support,
Ultimate Leveling,
Anti Redstone Crash,
Hydration,
Fragment Permission Plugin,
No VPNS,
Ultimate Titles Animations Gradient RGB,
Floating Damage.
Rendkívül furfangos
A fórumon hozzászóló résztvevők szerint a támadásban használt, Fracturiser névre keresztelt kártevőt különböző fázisokban juttatták fel a számítógépekre. Ezt a 0. szakasz indította el, amely akkor kezdődött, ha valaki futtatta az egyik fertőzött modot. Minden egyes szakasz azért felelt, hogy letöltse a következő szakasz fájljait egy parancs- és vezérlőszerverről. A 3. szakasz, amelyről úgy vélik, hogy a sorozat utolsó fázisa, mappákat és szkripteket hozott létre, módosításokat végzett a rendszerfájlok között, majd belekezdett az adatlopásba.
A beszámolók szerint a Fracturiser játszi könnyedséggel férhetett hozzá több webböngésző cookie-jaihoz és bejelentkezési adataihoz: a Discord, Microsoft és Minecraft hitelesítő adataihoz, személyes fájlokhoz és egyéb érzékeny adatokhoz, illetve a vágólap tartalmához.
Közösségi felületeiken a CurseForge illetékesei azt nyilatkozták, hogy egy „rosszindulatú felhasználó több fiókot is létrehozott, és rosszindulatú programokat tartalmazó projekteket töltött fel a platformra”. A tisztviselők azt is elmondták, hogy egy a Luna Pixel Studioshoz tartozó modfejlesztő fiókját is feltörték, melyet ugyancsak vírusmodok feltöltésére használtak a rosszakarók.
Vízipisztollyal oltják a tüzet
Az üggyel kapcsolatban a CurseForge továbbá elmondta, hogy jelenleg minden kapacitásukat arra fordítják, hogy minden új feltöltést és projektet átnézzenek, hogy garantálják a felhasználók biztonságát – ez idő alatt nem is engednek ki új modokat a platformra, valós segítséget azonban nem tudnak adni azoknak, akik esetleg már letöltötték a vírussal fertőzött modok egyikét.
Elmondásuk szerint a CurseForge-kliens letörlése nem ajánlott, mivel nem oldja meg a problémát, sőt sokkal több rosszat, mintsem jót tesz vele a felhasználó, törlés esetén ugyanis a fejlesztők nem tudják telepíteni a későbbiekben a javításokat. Mint írták, dolgoznak egy olyan eszközön is, amely segít abban, hogy a felhasználók a lehető legegyszerűbben megbizonyosodjanak arról, hogy ki lettek-e téve a fertőzésnek, vagy sem – addig is azonban mindenki türelmét kérik.
