开启左侧

【提醒】部分Curseforge账号疑似被盗用,或上传恶意Mod文件

 关闭 [复制链接]
Cmbself 2023-6-7 16:05:45

还没有账号?赶快去注册吧!

您需要 登录 才可以下载或查看,没有账号?立即注册

×
据国内外开发者消息称,自2023年5月24日始,Curseforge有部分账号疑似被盗用,上传了一些包含恶意程序的模组和整合包,主要涉及的游戏版本包括1.16.5、1.18.2和1.19.2,许多知名的模组和整合包受到了影响。包括When Dungeons Arise(地牢浮现之时)、Sky Villagers(天空村庄)、BetterMC(更好的MC)等模组和整合包。根据这些受影响的Curseforge账号来看,很有可能是有人绕过了账号的两步验证直接登入账号来上传文件。
2 v5 e' f: O# K0 B- k' _4 w. g3 ?. I6 v: `0 b; S: w$ @$ w
这些受影响的模组和整合包,在启动游戏后会自动从互联网下载一个Java文件并将其加载进游戏之中,执行一个命令来再次下载恶意程序,并将其保存为可执行文件。此程序可能会在您的电脑上留下后门,请慎重对待。该恶意程序主要针对Linux用户,诸如服务器等。但Windows用户也可能受此影响。如果你已经下载了受影响的模组或整合包,请立即对电脑进行全盘杀毒并隔离文件,以免造成不良影响。% v. g* W8 q! A0 X) J

6 O8 Z" e4 P% |  f( v/ H# F9 d! I另外,近期请谨慎下载来自Curseforge的资源,包括使用部分启动器通过Curseforge API下载模组或整合包。
$ u  }0 z, N% D5 J% }关于本次事件更详细的介绍以及自查方法,请查看:https://www.mcbbs.net/thread-1447445-1-1.html0 ?3 ?% {, D: l
# C& z4 h* M4 U4 t/ V% m6 k
来自圈子: MTRCommunity

评分

参与人数 1 +30 人气 +2 收起 理由
596wjr + 30 + 2 MTRBBS有你更精彩!

查看全部评分

MSnj_studioX 作者认证 2023-6-7 18:01:35
本帖最后由 XieXiLin 于 2023-6-10 16:00 编辑 5 x5 H4 F# a+ |2 h. M. ]( m, H

+ j: _- W# {* ](2023.6.7 9:00)截至几个小时前,数十种模组及其整合包,主要是在1.16.5 - 1.19.4上的模组已被更新,包括恶意文件。这些项目包括《When Dungeons Arise》、《Sky Villages》和《Better MC》系列整合包。这些账户的Curseforge资料显示有人直接登录它们。0 ^+ J3 L8 E6 d8 ^1 V3 b
1 D0 J8 p  \. L# M
建议在此问题被解决之前,暂缓在CurseForge下载或更新任何模组或整合包!(或者使用Modrinth)! |$ a! h5 H7 D: t& ^$ s. f4 n0 y4 R

& b) R6 O2 T& g; Y' R如何删除
! v( W; R$ O) y2 q对于Unix: ~/.config/.data/lib.jar
& ^/ X0 \* s& @+ `8 s; {4 {, Y3 i
对于Windows:%LOCALAPPDATA%/Microsoft Edge/libWebGL64.jar或~/AppData/Local/Microsoft Edge/libWebGL64.jar 7 W5 F' B' r7 ~7 M4 @$ D+ H& Z

, W( ]& t8 Z: U% ~9 U$ M3 Y
" d6 J8 E7 ~' K# t( L+ r. Q6 m0 R
  d) p' M' E3 ^/ r1 h如果看到一个名为libWebGL64.jar的文件,请删除它。如果该文件存在,你需要启用 "查看隐藏文件 "来显示它。你可以在网上找到这方面的指南。, j; q5 m! g* n7 P

' D3 L, O+ A" I2 a' [0 x! i4 ~  F3 b建议在这几天内不要使用CurseForge下载MTR模组,建议使用Modrinth。' v" _9 V3 u7 A! w, q
! p- C9 h3 X3 ?: v5 L1 y- d9 Y8 E
XieXiLin:! i% e+ y! J/ p. h0 H# W$ P
目前 CurseForge 和 Modrinth 皆已完成病毒的扫描和清理工作,但还请您不要认为 『已经没事了,模组可以随便下了』,该病毒可能会以 3.0 版本卷土重来,所以还请您留心。

$ h: D/ M* a$ g- d7 e9 `" [: L, T8 s+ _: f
话说这黑客也不行啊,Edge的路径都没搞明白
/ Q5 m7 G; t7 x4 }, L4 y. x6 N+ c
& k( _: Q4 u8 f# g, ]7 h* o

评分

参与人数 1 +30 收起 理由
mrt114514 + 30 MTRBBS有你更精彩!

查看全部评分

你知道初音未来吗
XieXiLin 2023-6-8 00:49:12
本帖最后由 XieXiLin 于 2023-6-10 15:58 编辑
2 j; `; H; u. h3 _6 f2 M* o! J; ^* `) A
% B7 O% b2 |' z9 ^( v" b& v0 P『提醒』- [# A) d9 ]; X- Y- g- G
杀毒软件目前 不能扫描出该恶意软件。如果你在最近运行过带新版 Mod 的 Minecraft,且担心自己已被感染,可以运行 CurseForge 官方发布的检测工具:' [/ w) ]3 D2 J% f
(龙腾猫跃 提供的地址)
# G5 Y7 P9 e' g& |6 B. t下载 1 | 下载 2& D4 O2 V8 R9 O
如果检测工具发现了恶意软件,我个人建议按照以下方式处理:
# F" C7 p3 T2 c) _! ^1. 按照 https://prismlauncher.org/news/cf-compromised-alert/ 的说明运行杀毒脚本
9 F8 H" i7 I: g! e  }2. 修改你在这台电脑上登录过的 所有账号 的密码:不仅限于 MC 账号,它还会窃取你在浏览器中的登录凭证
1 \( q9 [2 S. d: O1 ]: F* J3. 删除电脑上的 所有 MC Mod、版本核心文件、服务器插件,重新下载安装它们,即使它们可能是很久之前下载的,现在也已经被感染了/ H/ p$ f: u- l& W
即使你没有被感染,也请 谨慎下载安装任何今年 5 月以后的 Mod、整合包、服务器插件,直至事情被彻底解决  O! a- J+ ]2 ?, P
& }8 Y; N" R4 [( G9 S
『再次、再次、再次温馨提醒』# J! t3 j/ c% Y& h7 C9 w
根据反编译后的代码研究报告显示,该病毒具有 『根据自带模板感染其他文件』 『联网获取来自攻击者的指令』 『逃逸虚拟机』 的功能,请您 不要 随意运行来源不明的文件、下载 5 月份为起始点发布更新的模组版本、在 虚拟机 (即使是 Windows Sandbox,KVM 也需要注意) 内运行病毒
4 u+ _% R) c6 I
( j8 f" J6 H9 i- e6 ^: Q感谢您对论坛的支持。
Chino Chan Kawaii!!! ❤️
Snapsnap 2023-6-11 09:51:50
目前各大 Mod 网站已完成了病毒清理工作,主流杀毒软件已支持查杀该病毒,且病毒服务器和域名均已被举报下线。可以几乎确定,该病毒已经失去了传播和发作能力。- S  V6 s' r4 J% \7 B' _

2 \5 s& o) z5 ~0 A3 j+ |% g因此,大家可以该干啥干啥了,事情已经大致结束了!
6 @+ q- q" n" s2 Z) S  [——作者:龙腾猫跃 https://www.bilibili.com/read/cv24201292 出处:bilibili

评分

参与人数 2 +11 人气 +2 收起 理由
XieXiLin + 1 并不是。根据内部消息,会有 3.0,需防范。.
TEY0089 + 10 + 2 MTRBBS有你更精彩!

查看全部评分

不是哥们我眼不瞎你们不要@我了可以吗烦死了
mrt114514 作者认证 2023-6-7 21:56:06
MSnj_studioX 发表于 2023-6-7 18:01" Z( l- q3 m: R! u
(2023.6.7 9:00)截至几个小时前,数十种模组及其整合包,主要是在1.16.5 - 1.19.4上的模组已被更新,包括 ...
$ y4 H3 L4 A; B) K
话说他为什么不把Google和Forefox算进去,目前还是有人用win7玩啊
你原神什么实力你米哈游不知道吗?
天源之系 作者认证 2023-6-8 00:21:36
太可怕了,还好我没有用过上述模组,但是也不能保证其他模组没有问题,所以还是得全面检查好一点
这里是一个一个天梦Satiric,来自广东广州的高中生一枚
楼主 Cmbself 2023-6-8 00:22:21
关于 CurseForge 的病毒的补充( 2023.06.08 00:20): k$ I3 G5 o1 U7 b
Backbones 群组进行分析后发现,该病毒有 『逃逸虚拟机』 『联网开放端口等待指令』 『根据内部模板感染文件』 的功能。
; x6 E4 J- p9 Q* @1 O; ^为了您的安全,请不要在身边的设备上测试此病毒,即使是在虚拟机里。6 q$ K' l/ P* R0 `
模组/整合包开发者的电脑被感染后,做出来的模组或整合包也会携带此病毒,其余玩家游玩这个模组的过程中也会染上病毒。
) q5 I1 k/ g# }Modrinth和Curseforge都已关闭模组上传功能。

评分

参与人数 1 +1 收起 理由
XieXiLin + 1 稍微改了我的话罢

查看全部评分

Furina_汇百川 作者认证 2023-6-8 18:04:41
话说这病毒什么机制,是下载后立刻运行,还是启动游戏时同时运行" A  X( i7 F6 ?/ D) I
如果不是立刻运行,我下载一个下来拖进编译器研究研究()
. O( N+ F6 s' @( [* f3 d5 }而且说了这么半天,这玩意到底对电脑有啥危害也没讲清楚(?
芙 门 永 存
头像被屏蔽
XHG78999 作者认证 2023-6-8 18:25:29
HOMO-BlockChild 发表于 2023-6-8 18:04( |& Z& A' h1 ~1 g) j0 A- w  |
话说这病毒什么机制,是下载后立刻运行,还是启动游戏时同时运行
2 I/ J& B4 j3 e# L; B4 ~如果不是立刻运行,我下载一个下来拖进编 ...

: S) T9 ?1 O4 y' `7 z8 d. Lrce呗,后门能干啥
/ p4 ^  [% k9 y8 l# \& y应该是留潜伏程序等动态下发,像之前并夕夕的那个毒一样
签名被屏蔽
哈哈哈 2023-6-8 19:12:32
幸好没事; H' F' ~3 m" e3 D/ W/ m; S

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

×
qingqing 2023-6-10 12:00:19
6
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

快速回复 返回顶部 返回列表