大概是6月高考期间(9号)的时候,爆出了一个消息,说是CurseForge的一些MC模组(Mod)感染了一种名为Fracturizer的病毒,而且能二次传染,通过jar传播,盗取用户的隐私信息……
虽然那个时候我在搬家,没有时间折腾Minecraft,何况我是昨天折腾服务器才知道这则火星新闻的
经过调查以后,所幸也只是一些“排行榜热门”的模组,我玩的基本上是一些小众Mod,没有感染这个病毒。不过还是有必要记录一番。
国内外的各类玩家和安全论坛、资讯门户几乎都报道了这则重要的消息,在此列出一些我搜集到的链接:
- June 2023 – Infected mods detection tool – CurseForge
- 【安全警告】大量 MC Mod、整合包、服务器插件遭到蠕虫病毒投放,请保持警惕!- 哔哩哔哩
- 安全事件周报 2023-06-05 第23周 – 360CERT 臭名昭著的360也报道了此事
- 模组玩家自查指南(译文) fractureiser-investigation/fractureiser – GitHub
- overwolf / jar-infection-scanner – GitHub 适用Win平台的JAR扫描器
域主用了最后一条的JAR扫描器,并没有发现病毒,不过这个扫描器倒是用MFC写的……
据说是CurseForge的数据库被盗,攻击者通过登录知名作者的账号,在CurseForge分发含有病毒的模组等资源,从而进一步传播到国内外的玩家群中(神似马斯克推特被盗发布诈骗链接的乌龙事件)
受病毒影响的整合包和Mod包括了Better MC 整合包系列、When Dungeons Arise、Sky Villages、DungeonX、Skyblock Core等等,还有一些Bukkit的插件,由于CurseForge不止托管MC模组,还有WOW的插件等其他游戏的资源,也可能受到了感染。
这个病毒会在系统中添加自身的运行守恒,窃取各个浏览器和游戏平台、社交网络的账号登录凭据(微软、Steam、Discord、Twitter等,还有加密币的钱包);自动下载其他的恶意病毒,勒索程序、让整个基于Java虚拟机的资源(包括MC本体)感染病毒;通过局域网联机分发到其他电脑上,使得一个网络下的所有电脑成为DDoS僵尸集群……
简直是一个标准的蠕虫病毒行为,就像2017年那会的WannaCry那样。
这个病毒不仅影响主流的Windows,还会影响Linux(但没有表明是否为桌面环境),如果这种病毒会在无头Linux搭建的MC服务器发作,危险性可想而知;不过macOS貌似未受影响,可能是默认有GateKeeper的防护机制,除非用黑苹果关掉了强制应用签名保护。
总之算是虚惊一场,也不能不闻窗外事。以后也许还会遇到病毒的信息。
然而我还是要排查究竟是哪个Mod不兼容OptiFine导致进不去世界……模组服是真折腾
