Pazartesi, Haziran 17, 2024
Ana SayfaTeknoloji HaberleriDüzinelerce popüler Minecraft modunun Fracturiser kötü amaçlı yazılımıyla enfekte olduğu bulundu

Düzinelerce popüler Minecraft modunun Fracturiser kötü amaçlı yazılımıyla enfekte olduğu bulundu

Düzinelerce popüler Minecraft modunun Fracturiser kötü amaçlı yazılımıyla enfekte olduğu bulundu

Getty Resimleri

Son derece popüler olan kullanıcılar için eklenti yazılımı sağlayan bir platform minecraft Game, kullanıcılara çevrimiçi olarak sunduğu düzinelerce teklife kötü amaçlı yazılım enjekte edildiğini keşfettikten sonra modları indirmeyi veya güncellemeyi derhal durdurmalarını tavsiye ediyor.

Mod geliştirici hesapları, modlar veya eklentiler olarak bilinen eklenti yazılımlarla ilgili hesapları ve forumları barındıran bir platform olan CurseForge tarafından barındırılıyordu. minecraft oyun. Saldırıda kullanılan kötü amaçlı dosyalardan bazıları, hesap ihlallerinin haftalardır aktif olduğunun bir işareti olarak Nisan ortasına kadar uzanıyor. CurseForge tarafından yürütülen bir geliştirici platformu olan Bukkit.org’un da etkileneceğine inanılıyor.

Windows ve Linux sistemlerine bulaşan çatlak oluşturucu

Oyuncular olayı tartışmaya ayrılmış bir forumda “Bir dizi Curseforge ve dev.bukkit.org (Bukkit yazılımının kendisi değil) hesaplarının güvenliği ihlal edildi ve birçok popüler eklenti ve modun kopyalarına kötü amaçlı yazılım enjekte edildi” diye yazdı. “Bu kötü amaçlı kopyalardan bazıları, Better Minecraft dahil olmak üzere popüler mod paketlerine enjekte edildi. Nisan ortasına kadar kötü amaçlı eklenti/mod JAR raporları var.”

Saldırıya uğrayan hesaplardan biri, açık kaynak üreticisi Prism Launcher’a ait. minecraft başlatıcı. Prism Launcher yetkilileri, enfeksiyonları “yaygın” olarak nitelendirdi ve aşağıdaki modları etkilenen olarak listeledi:

CurseForge:

  • Zindanlar Yükseliyor
  • Gökyüzü Köyleri
  • Daha iyi MC mod paketi serisi
  • Zindan
  • Skyblock Çekirdeği
  • Kasa Entegrasyonları
  • Otomatik Yayın
  • Müze Küratörü Gelişmiş
  • Kasa Entegrasyonları Hata düzeltmesi
  • Create Infernal Expansion Plus – Mod, CurseForge’dan kaldırıldı

Bukkit:

  • Varlık Düzenleyiciyi Görüntüle
  • cennet elitra
  • Nexus Event Özel Varlık Düzenleyicisi
  • Basit Hasat
  • MCÖdüller
  • Kolay Özel Yiyecekler
  • Anti Komut Spam Bungeecord Desteği
  • Nihai Tesviye
  • Anti Redstone Çökmesi
  • Hidrasyon
  • Parça İzin Eklentisi
  • VPNS yok
  • Nihai Başlıklar Animasyonlar Degrade RGB
  • Yüzen Hasar

Forumda paylaşım yapan katılımcılar, saldırıda kullanılan Fracturiser adlı kötü amaçlı yazılımın Windows ve Linux sistemlerinde çalıştığını söyledi. Biri virüs bulaşmış modlardan birini çalıştırdığında başlayan Aşama 0 tarafından başlatılan aşamalar halinde teslim edilir. Her aşama, dosyaları bir komut ve kontrol sunucusundan indirir ve ardından bir sonraki aşamayı çağırır. Sıralamanın son aşaması olduğuna inanılan Aşama 3, klasörler ve komut dosyaları oluşturur, sistem kayıt defterinde değişiklikler yapar ve aşağıdakileri gerçekleştirmeye devam eder:

  • Kendisini dosya sistemindeki tüm JAR (Java arşivi) dosyalarına yayar, muhtemelen Fracturiser’ın CurseForge veya BukkitDev’den indirilmemiş diğer modları etkilemesine izin verir
  • Birden çok Web tarayıcısı için çerezleri ve oturum açma bilgilerini çalın
  • Panodaki kripto para birimi adreslerini alternatif olanlarla değiştirin
  • Discord kimlik bilgilerini çalmak
  • Microsoft’u çalmak ve minecraft kimlik bilgileri

VirusTotal’a burada ve burada gönderilen kötü amaçlı yazılım örneklerine göre, Kaliforniya saatiyle 10:45 itibariyle, başlıca antivirüs motorlarından yalnızca dördü Fracturiser’ı tespit ediyor. Forum katılımcıları, sistemlerini enfeksiyon belirtileri açısından manuel olarak kontrol etmek isteyen kişilerin aşağıdakileri araması gerektiğini söyledi:

  • linux: ~/.config/.data/lib.jar
  • pencereler: %LOCALAPPDATA%Microsoft EdgelibWebGL64.jar (veya ~AppDataLocalMicrosoft EdgelibWebGL64.jar)
    • Kontrol ederken gizli dosyaları gösterdiğinizden emin olun.
    • Evet, boşluklu “Microsoft Edge”. MicrosoftEdge, gerçek Edge tarafından kullanılan yasal dizindir.
    • Ayrıca şu adreste bir giriş için kayıt defterini kontrol edin: HKEY_CURRENT_USER:SoftwareMicrosoftWindowsCurrentVersionRun
    • Veya bir kısayol %appdata%MicrosoftWindowsStart MenuProgramsStartup
  • Diğer tüm işletim sistemleri: Etkilenmedi. Kötü amaçlı yazılım yalnızca Windows ve Linux için kodlanmıştır. Gelecekte diğer işletim sistemleri için yükler ekleyen bir güncelleme alması mümkündür.

Olayı araştıran kişiler, bu dosyaların aranmasına yardımcı olacak komut dosyalarını burada kullanıma sunmuştur. CurseForge burada dezenfeksiyon kılavuzuna sahiptir.

Sosyal medyada, CurseForge yetkilileri söz konusu “kötü niyetli bir kullanıcı birkaç hesap oluşturdu ve platforma kötü amaçlı yazılım içeren projeler yükledi.” Yetkililer, mod geliştiricisi Luna Pixel Studios’a ait bir kullanıcının da saldırıya uğradığını ve hesabın benzer kötü amaçlı yazılım yüklemek için kullanıldığını söylediler.

Bir Discord kanalı üzerinden CurseForge yetkilileri tarafından gönderilen bir güncellemede şunları yazdılar:

  • Kötü niyetli bir kullanıcı birkaç hesap oluşturmuş ve platforma kötü amaçlı yazılım içeren projeler yüklemiştir.
  • Ayrı olarak, Luna Pixel Studios’a (LPS) ait bir kullanıcı saldırıya uğradı ve benzer kötü amaçlı yazılımları yüklemek için kullanıldı.
  • Bununla ilgili tüm hesapları yasakladık ve LPS’yi de devre dışı bıraktık. Erişimlerini yeniden sağlamalarına yardımcı olmak için LPS ekibiyle doğrudan iletişim halindeyiz.
  • Güvenliğinizi garanti altına almak için TÜM yeni projeleri ve dosyaları inceleme sürecindeyiz. biz tabii ki bu sorun çözülene kadar tüm yeni dosyaların onay sürecini bekletmek
  • CF istemcinizi silmek, sorunu çözmeyeceğinden ve bir düzeltme uygulamamızı engelleyeceğinden önerilen bir çözüm değildir. Bunların hiçbirine maruz kalmadığınızdan emin olmanıza yardımcı olacak bir araç üzerinde çalışıyoruz. Bu arada #current-issues’de yayınlanan bilgilere bakın.
  • Bu YALNIZCA Minecraft kullanıcıları için geçerlidir
  • Açık olmak gerekirse CurseForge tehlikeye atılmaz! Hiçbir yönetici hesabı saldırıya uğramadı.

Platformun modları indirmek ve paylaşmak için güvenli bir yer olarak kalmasını sağlamak için bunun üzerinde çalışıyoruz. Öne çıkarmada bize yardımcı olan tüm yazarlara ve kullanıcılara teşekkür ederiz, işbirliğiniz ve sabrınız için teşekkür ederiz ❤️

Çevrimiçi bir röportajda, Luna Pixel Studio’dan bir yetkili şunları yazdı:

Temelde Modpack geliştiricimiz, Curseforge Launcher’daki en son güncellenen bölümden kötü amaçlı bir mod yükledi. Yeni Modpack güncellemesine eklemeye değer olup olmadığını test etmek ve görmek istedi ve Curseforge’dan onaylandığı için gözden kaçtı. Modpack’i başlattıktan sonra istediğimiz bir şey değildi, bu yüzden kaldırdık ama o aşamada çok geçti ve kötü amaçlı yazılım zaten 0. aşamada başladı.

Ertesi güne kadar her şey yolunda görünüyordu ve sonra LunaPixelStudios hesaplarından Curseforge projeleri dosya yüklemeye ve ardından arşivlemeye başladı. Bunu yalnızca bir kullanıcının modlardan biri için bir değişiklik günlüğü istemesi nedeniyle anladık, ancak hiçbir zaman güncellemedik, bu yüzden kontrol ettik. Oradan, onu durdurmaya çalışan harika işler yapan birçok insanla iletişime geçtik. Çoğunlukla pek çoğu etkilenmiş gibi görünmüyor, ancak 2023 Maçına kadar uzanan Kötü Amaçlı modların bulunduğundan şüpheleniliyor.

Bu bir kırılma hikayesi. Garantili olarak daha fazla ayrıntı eklenecektir.

RELATED ARTICLES

Popüler Konular