Getty Images
Une plate-forme qui fournit un logiciel de plug-in pour le très populaire jeu Minecraft conseille aux utilisateurs d’arrêter immédiatement de télécharger ou de mettre à jour des mods après avoir découvert qu’un logiciel malveillant a été injecté dans des dizaines d’offres qu’il met à disposition en ligne.
Les comptes de développeurs de mods étaient hébergés par CurseForge, une plate-forme qui héberge des comptes et des forums liés à des logiciels complémentaires appelés mods ou plugins, qui étendent les capacités du jeu Minecraft autonome. Certains des fichiers malveillants utilisés dans l’attaque remontent à la mi-avril, signe que les compromissions de compte sont actives depuis des semaines. Bukkit.org, une plateforme de développement gérée par CurseForge, serait également affectée.
Fractureur infectant les systèmes Windows et Linux
“Un certain nombre de comptes Curseforge et dev.bukkit.org (pas le logiciel Bukkit lui-même) ont été compromis, et des logiciels malveillants ont été injectés dans des copies de nombreux plugins et mods populaires”, ont écrit les joueurs dans un forum dédié à la discussion de l’événement. «Certaines de ces copies malveillantes ont été injectées dans des modpacks populaires, notamment Better Minecraft. Des JAR de plug-ins/mods malveillants ont été signalés dès la mi-avril. »
Les responsables de Prism Launcher, fabricant d’un lanceur Minecraft open source, ont décrit les infections comme “répandues” et ont répertorié les mods suivants comme étant concernés :
CurseForge :
- Les donjons surgissent
- Villages du ciel
- Meilleure série de modpacks MC
- Donjonz
- Noyau Skyblock
- Intégrations de coffre-fort
- AutoDiffusion
- Conservateur de musée Avancé
- Correctif de bogue d’intégration de coffre-fort
- Create Infernal Expansion Plus – Mod supprimé de CurseForge
Boukkit :
- Afficher l’éditeur d’entités
- Havre Elytra
- L’éditeur d’entités personnalisées d’événement Nexus
- Récolte simple
- MCBounties
- Aliments personnalisés faciles
- Assistance anti-spam Bungeecord
- Mise à niveau ultime
- Anti-crash de Redstone
- Hydratation
- Plug-in d’autorisation de fragment
- Pas de VPN
- Ultimate Titles Animations Dégradé RVB
- Dégâts flottants
Publicité
Les participants postant sur le forum ont déclaré que le logiciel malveillant utilisé dans l’attaque, baptisé Fracturer, fonctionne sur les systèmes Windows et Linux. Il est livré par étapes initiées par l’étape 0, qui commence une fois que quelqu’un exécute l’un des mods infectés. Chaque étape télécharge des fichiers à partir d’un serveur de commande et de contrôle, puis appelle l’étape suivante. L’étape 3, que l’on pense être la dernière étape de la séquence, crée des dossiers et des scripts, apporte des modifications au registre système et procède aux opérations suivantes :
- Se propage à tous les fichiers JAR (archive Java) du système de fichiers, permettant éventuellement à Fracturiser d’infecter d’autres mods qui n’ont pas été téléchargés depuis CurseForge ou BukkitDev
- Voler les cookies et les informations de connexion pour plusieurs navigateurs Web
- Remplacez les adresses de crypto-monnaie dans le presse-papiers par d’autres
- Voler les identifiants Discord
- Voler les identifiants Microsoft et Minecraft
À 10 h 45, heure de Californie, seuls quatre des principaux moteurs antivirus détectent Fracturiser, selon des échantillons de logiciels malveillants publiés sur VirusTotal ici et ici. Les participants au forum ont déclaré que les personnes qui souhaitent vérifier manuellement si leurs systèmes présentent des signes d’infection doivent rechercher les éléments suivants :
- Linux: ~/.config/.data/lib.jar
- les fenêtres: %LOCALAPPDATA%Microsoft EdgelibWebGL64.jar (ou ~AppDataLocalMicrosoft EdgelibWebGL64.jar)
- Assurez-vous d’afficher les fichiers cachés lors de la vérification
- Oui, “Microsoft Edge” avec un espace. MicrosoftEdge est le répertoire légitime utilisé par Edge réel.
- Vérifiez également le registre pour une entrée à HKEY_CURRENT_USER:SoftwareMicrosoftWindowsCurrentVersionRun
- Ou un raccourci dans %appdata%MicrosoftWindowsStart MenuProgramsStartup
- Tous les autres systèmes d’exploitation: Non affecté. Le malware est codé en dur pour Windows et Linux uniquement. Il est possible qu’il reçoive une mise à jour ajoutant des charges utiles pour d’autres systèmes d’exploitation à l’avenir.
Les personnes enquêtant sur l’incident ont mis à disposition des scripts ici pour aider à vérifier ces fichiers. CurseForge a des conseils de désinfection ici.
Sur les réseaux sociaux, les responsables de CurseForge ont déclaré qu’un “utilisateur malveillant a créé plusieurs comptes et téléchargé des projets contenant des logiciels malveillants sur la plate-forme”. Les responsables ont poursuivi en disant qu’un utilisateur appartenant au développeur de mods Luna Pixel Studios avait également été piraté et que le compte avait été utilisé pour télécharger des logiciels malveillants similaires.
Publicité
Dans une mise à jour des responsables de CurseForge envoyée sur un canal Discord, ils ont écrit :
- Un utilisateur malveillant a créé plusieurs comptes et téléchargé des projets contenant des logiciels malveillants sur la plateforme
- Séparément, un utilisateur appartenant à Luna Pixel Studios (LPS) a été piraté et a été utilisé pour télécharger des logiciels malveillants similaires
- Nous avons banni tous les comptes concernés et désactivé également celui de LPS. Nous sommes en contact direct avec l’équipe LPS pour les aider à rétablir leur accès
- Nous sommes en train de parcourir TOUS les nouveaux projets et dossiers pour garantir votre sécurité. Nous maintenons bien sûr le processus d’approbation de tous les nouveaux dossiers jusqu’à ce que cela soit résolu
- La suppression de votre client CF n’est pas une solution recommandée car cela ne résoudra pas le problème et nous empêchera de déployer un correctif. Nous travaillons sur un outil pour vous aider à vous assurer que vous n’avez pas été exposé à tout cela. En attendant référez-vous aux informations publiées dans #current-issues.
- Ceci concerne UNIQUEMENT les utilisateurs de Minecraft
- Pour être clair CurseForge n’est pas compromis ! Aucun compte administrateur n’a été piraté.
Nous y travaillons pour nous assurer que la plate-forme reste un endroit sûr pour télécharger et partager des mods. Merci à tous les auteurs et utilisateurs qui nous aident à mettre en évidence, nous apprécions votre coopération et votre patience ❤️
Dans une interview en ligne, un responsable de Luna Pixel Studio a écrit :
Fondamentalement, notre développeur Modpack a installé un mod malveillant à partir de la dernière section mise à jour du lanceur Curseforge. Il voulait tester et voir si cela valait la peine d’être ajouté à la nouvelle mise à jour de Modpack et depuis qu’elle a été approuvée par Curseforge, elle a été négligée. Après avoir lancé le Modpack, ce n’était pas quelque chose que nous voulions, nous l’avons donc supprimé, mais à ce stade, il était trop tard et le malware a déjà commencé à l’étape 0.
Tout semblait bien jusqu’au lendemain, puis les projets sur curseforge des comptes LunaPixelStudios ont commencé à télécharger des fichiers et à les archiver par la suite. Nous n’avons relevé cela qu’en raison d’un utilisateur demandant un journal des modifications pour l’un des mods, mais nous ne l’avons jamais mis à jour, nous l’avons donc vérifié. À partir de là, nous avons contacté de nombreuses personnes qui ont fait un travail incroyable en essayant de l’arrêter. La plupart du temps, il ne semble pas que beaucoup aient été affectés, mais on soupçonne que des mods malveillants ont été trouvés datant du match de 2023.
C’est une histoire de rupture. Plus de détails seront ajoutés au besoin.