تم العثور على العشرات من تعديلات Minecraft الشهيرة مصابة ببرامج Fracturiser الضارة

نظام أساسي يوفر برنامجًا إضافيًا للعامة ماين كرافت تنصح اللعبة المستخدمين بالتوقف فورًا عن تنزيل التعديلات أو تحديثها بعد اكتشاف برامج ضارة تم إدخالها في عشرات العروض التي تتيحها عبر الإنترنت.

تمت استضافة حسابات mod-developer بواسطة CurseForge ، وهي منصة تستضيف الحسابات والمنتديات المتعلقة ببرامج الوظائف الإضافية المعروفة باسم mods أو plugins ، والتي توسع من قدرات النظام المستقل ماين كرافت لعبة. يعود تاريخ بعض الملفات الضارة المستخدمة في الهجوم إلى منتصف أبريل ، في إشارة إلى أن عمليات اختراق الحساب كانت نشطة منذ أسابيع. يُعتقد أيضًا أن Bukkit.org ، وهي منصة للمطورين تديرها CurseForge ، قد تأثرت.

Fracturiser يصيب أنظمة Windows و Linux

كتب اللاعبون في منتدى مخصص لمناقشة الحدث: “تم اختراق عدد من حسابات Curseforge و dev.bukkit.org (وليس برنامج Bukkit نفسه) ، وتم حقن البرامج الضارة في نسخ من العديد من الإضافات والتعديلات الشائعة”. تم حقن بعض هذه النسخ الخبيثة في حزم modpack الشائعة بما في ذلك Better Minecraft. هناك تقارير عن مكونات إضافية / تعديل JARs في وقت مبكر من منتصف أبريل. “

ينتمي أحد الحسابات المخترقة إلى Prism Launcher ، صانع مصدر مفتوح ماين كرافت منصة الإطلاق. وصف مسؤولو Prism Launcher الإصابات بأنها “منتشرة” وذكروا التعديلات التالية على أنها متأثرة:

لعنة

• زنزانة
• قرى السماء
• سلسلة BetterMC modpack
• الأبراج المحصنة
• سكاي بلوك كور
• تكامل Vault
• البث التلقائي
• أمين متحف متقدم
• تكامل Vault إصلاح الأخطاء
• Create Infernal Expansion Plus – تمت إزالة Mod من CurseForge

كتاب:

• عرض محرر الكيان
• هافن إليترا
• محرر الكيان المخصص لحدث Nexus
• حصاد بسيط
• MCBounties
• أغذية مخصصة سهلة
• دعم مكافحة البريد العشوائي للبنجي
• التسوية النهائية
• مكافحة تحطم ريدستون
• ترطيب
• جزء إذن البرنامج المساعد
• لا VPNS
• Ultimate Titles Animations Gradient RGB. صور متحركة للعناوين متدرجة RGB
• الضرر البين

قال المشاركون الذين نشروا في المنتدى إن البرمجيات الخبيثة المستخدمة في الهجوم ، والتي يطلق عليها اسم Fracturiser ، تعمل على أنظمة Windows و Linux. يتم تسليمه على مراحل تبدأ بالمرحلة 0 ، والتي تبدأ بمجرد قيام شخص ما بتشغيل أحد التعديلات المصابة. تقوم كل مرحلة بتنزيل الملفات من خادم الأوامر والتحكم ثم المكالمات للمرحلة التالية. يُعتقد أن المرحلة 3 هي المرحلة الأخيرة في التسلسل ، وتقوم بإنشاء مجلدات ونصوص ، وإجراء تغييرات على سجل النظام ، وتستمر في تنفيذ ما يلي:

• نشر نفسه على جميع ملفات JAR (أرشيف Java) على نظام الملفات ، مما قد يسمح لـ Fracturiser بإصابة التعديلات الأخرى التي لم يتم تنزيلها من CurseForge أو BukkitDev
• سرقة ملفات تعريف الارتباط ومعلومات تسجيل الدخول لمتصفحات الويب المتعددة
• استبدل عناوين العملات المشفرة في الحافظة بعناوين بديلة
• سرقة أوراق اعتماد الخلاف
• سرقة Microsoft و ماين كرافت أوراق اعتماد

اعتبارًا من الساعة 10:45 بتوقيت كاليفورنيا ، اكتشفت أربعة فقط من محركات مكافحة الفيروسات الرئيسية Fracturiser ، وفقًا لعينات من البرامج الضارة المنشورة على VirusTotal هنا وهنا. قال المشاركون في المنتدى إن الأشخاص الذين يرغبون في فحص أنظمتهم يدويًا بحثًا عن علامات الإصابة يجب أن يبحثوا عما يلي:

• لينكس: ~/.config/.data/lib.jar
• شبابيك: %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar (أو ~\AppData\Local\Microsoft Edge\libWebGL64.jar)
  • تأكد من إظهار الملفات المخفية عند التحقق
  • نعم ، “Microsoft Edge” بمسافة. MicrosoftEdge هو الدليل الشرعي المستخدم بواسطة Edge الفعلي.
  • تحقق أيضًا من التسجيل للحصول على إدخال في HKEY_CURRENT_USER:\Software\Microsoft\Windows\CurrentVersion\Run
  • أو اختصار في %appdata%\Microsoft\Windows\Start Menu\Programs\Startup
• جميع أنظمة التشغيل الأخرى: غير متأثر. البرامج الضارة مشفرة بشكل ثابت لنظامي التشغيل Windows و Linux فقط. من الممكن أن تتلقى تحديثًا يضيف حمولات لأنظمة تشغيل أخرى في المستقبل.

أتاح الأشخاص الذين يحققون في الحادث نصوصًا هنا للمساعدة في التحقق من هذه الملفات. لدى CurseForge إرشادات التطهير هنا.

على وسائل التواصل الاجتماعي ، مسؤولو CurseForge قال أن “مستخدمًا ضارًا قد أنشأ عدة حسابات وقام بتحميل مشاريع تحتوي على برامج ضارة إلى النظام الأساسي”. ومضى المسؤولون يقولون إن مستخدمًا تابعًا لمطور Luna Pixel Studios تم اختراقه أيضًا وتم استخدام الحساب لتحميل برامج ضارة مماثلة.

في تحديث أرسله مسؤولو CurseForge عبر قناة Discord ، كتبوا:

• أنشأ مستخدم ضار عدة حسابات وقام بتحميل مشاريع تحتوي على برامج ضارة إلى النظام الأساسي
• بشكل منفصل ، تم اختراق مستخدم ينتمي إلى Luna Pixel Studios (LPS) وتم استخدامه لتحميل برامج ضارة مماثلة
• لقد حظرنا جميع الحسابات ذات الصلة بهذا الأمر وعطلنا LPS أيضًا. نحن على اتصال مباشر مع فريق LPS لمساعدتهم على استعادة وصولهم
• نحن في طور البحث عن جميع المشاريع والملفات الجديدة لضمان سلامتك. نحن بالطبع استمرار عملية الموافقة على جميع الملفات الجديدة حتى يتم حل ذلك
• حذف عميل CF الخاص بك ليس حلاً موصى به لأنه لن يحل المشكلة ويمنعنا من نشر الإصلاح. نحن نعمل على أداة لمساعدتك على التأكد من أنك لم تتعرض لأي من هذا. في غضون ذلك ، يُرجى الرجوع إلى المعلومات المنشورة في عدد # من الأعداد الحالية.
• هذا مناسب فقط لمستخدمي Minecraft
• لنكون واضحين CurseForge ليس للخطر! تم اختراق أي حساب مشرف.

نحن نعمل على ذلك للتأكد من أن النظام الأساسي يظل مكانًا آمنًا لتنزيل ومشاركة التعديلات. شكرًا لجميع المؤلفين والمستخدمين الذين ساعدونا في تسليط الضوء ، نحن نقدر تعاونكم وصبركم ❤️

في مقابلة عبر الإنترنت ، كتب مسؤول في Luna Pixel Studio:

قام مطور Modpack الخاص بنا بشكل أساسي بتثبيت تعديل ضار من أحدث قسم تم تحديثه في Curseforge Launcher. لقد أراد اختبار ومعرفة ما إذا كان الأمر يستحق الإضافة إلى تحديث Modpack الجديد وبما أنه تمت الموافقة عليه من Curseforge فقد تم التغاضي عنه. بعد إطلاق Modpack ، لم يكن الأمر شيئًا أردناه ، لذا قمنا بإزالته ولكن في تلك المرحلة كان الوقت قد فات وبدأت البرامج الضارة بالفعل في المرحلة 0.

بدا كل شيء على ما يرام حتى اليوم التالي ، ثم بدأت المشاريع على curseforge من حسابات LunaPixelStudios في تحميل الملفات وأرشفتها بعد ذلك. لقد التقطنا هذا فقط بسبب طلب المستخدم إجراء تغيير لأحد التعديلات ولكننا لم نحدّثه أبدًا ، لذا قمنا بفحصه. من هناك اتصلنا بالعديد من الأشخاص الذين قاموا بعمل رائع في محاولة لإيقافه. في الغالب لا يبدو أن الكثيرين قد تأثروا ولكن يُشتبه في العثور على تعديلات ضارة تعود إلى مباراة عام 2023.

هذه قصة عاجلة. سيتم إضافة المزيد من التفاصيل على النحو المطلوب.