Figyelmeztette felhasználóit a CurseForge, az egyik legnépszerűbb videójátékos platform, mely különböző pluginokat és modokat kínál a már kiadott játékok még izgalmasabbá és sokrétűbbé tételéhez. Az oldal alapvetően biztonságos, most azonban mégis úgy néz ki, hogy több tucatnyi, általuk elérhetővé tett ajánlatba kerülhetett rosszindulatú szoftver – melyek kivétel nélkül a világ legnépszerűbb játékához, a Minecrafthoz készültek.

A modfejlesztői fiókokat a CurseForge üzemeltette, a támadásban használt rosszindulatú fájlok létrehozásának ideje pedig néhány esetben egészen április közepéig visszanyúlik, ami egyértelműen arra utal, hogy a fiókok kompromittálása hetek óta aktív volt, sőt mi több, a CurseForge által üzemeltetett Bukkit.org fejlesztői platform is érintett lehet.

Mint az a Prism Launcher, az egyik nyílt forráskódú Minecraft-indítóprogram készítőjének nyilatkozatából kiderült, a Fracturiser nevezetű malware elsősorban Windows- és Linux-rendszereket fertőzött meg, elsősorban pedig a következő modokkal terjedt:

• Dungeons Arise,
• Sky Villages,
• Better MC modpack series,
• Dungeonz,
• Skyblock Core,
• Vault Integrations,
• AutoBroadcast,
• Museum Curator Advanced,
• Vault Integrations Bug fix,
• Create Infernal Expansion Plus.

Ezeken felül a CurseForge által működtetett Bukkitról is több modot el kellett távolítani, ezek a következők voltak:

• Display Entity Editor,
• Haven Elytra,
• The Nexus Event Custom Entity Editor,
• Simple Harvesting,
• MCBounties,
• Easy Custom Foods,
• Anti Command Spam Bungeecord Support,
• Ultimate Leveling,
• Anti Redstone Crash,
• Hydration,
• Fragment Permission Plugin,
• No VPNS,
• Ultimate Titles Animations Gradient RGB,
• Floating Damage.

Rendkívül furfangos

A fórumon hozzászóló résztvevők szerint a támadásban használt, Fracturiser névre keresztelt kártevőt különböző fázisokban juttatták fel a számítógépekre. Ezt a 0. szakasz indította el, amely akkor kezdődött, ha valaki futtatta az egyik fertőzött modot. Minden egyes szakasz azért felelt, hogy letöltse a következő szakasz fájljait egy parancs- és vezérlőszerverről. A 3. szakasz, amelyről úgy vélik, hogy a sorozat utolsó fázisa, mappákat és szkripteket hozott létre, módosításokat végzett a rendszerfájlok között, majd belekezdett az adatlopásba.

A beszámolók szerint a Fracturiser játszi könnyedséggel férhetett hozzá több webböngésző cookie-jaihoz és bejelentkezési adataihoz: a Discord, Microsoft és Minecraft hitelesítő adataihoz, személyes fájlokhoz és egyéb érzékeny adatokhoz, illetve a vágólap tartalmához.

Közösségi felületeiken a CurseForge illetékesei azt nyilatkozták, hogy egy „rosszindulatú felhasználó több fiókot is létrehozott, és rosszindulatú programokat tartalmazó projekteket töltött fel a platformra”. A tisztviselők azt is elmondták, hogy egy a Luna Pixel Studioshoz tartozó modfejlesztő fiókját is feltörték, melyet ugyancsak vírusmodok feltöltésére használtak a rosszakarók.

Vízipisztollyal oltják a tüzet

Az üggyel kapcsolatban a CurseForge továbbá elmondta, hogy jelenleg minden kapacitásukat arra fordítják, hogy minden új feltöltést és projektet átnézzenek, hogy garantálják a felhasználók biztonságát – ez idő alatt nem is engednek ki új modokat a platformra, valós segítséget azonban nem tudnak adni azoknak, akik esetleg már letöltötték a vírussal fertőzött modok egyikét.

Elmondásuk szerint a CurseForge-kliens letörlése nem ajánlott, mivel nem oldja meg a problémát, sőt sokkal több rosszat, mintsem jót tesz vele a felhasználó, törlés esetén ugyanis a fejlesztők nem tudják telepíteni a későbbiekben a javításokat. Mint írták, dolgoznak egy olyan eszközön is, amely segít abban, hogy a felhasználók a lehető legegyszerűbben megbizonyosodjanak arról, hogy ki lettek-e téve a fertőzésnek, vagy sem – addig is azonban mindenki türelmét kérik.

(Borítókép: iStockphoto / Getty Images)