Számtalan számítógépet fertőzhetett meg a világ legnépszerűbb játéka
További Tech-Tudomány cikkek
Figyelmeztette felhasználóit a CurseForge, az egyik legnépszerűbb videójátékos platform, mely különböző pluginokat és modokat kínál a már kiadott játékok még izgalmasabbá és sokrétűbbé tételéhez. Az oldal alapvetően biztonságos, most azonban mégis úgy néz ki, hogy több tucatnyi, általuk elérhetővé tett ajánlatba kerülhetett rosszindulatú szoftver – melyek kivétel nélkül a világ legnépszerűbb játékához, a Minecrafthoz készültek.
A modfejlesztői fiókokat a CurseForge üzemeltette, a támadásban használt rosszindulatú fájlok létrehozásának ideje pedig néhány esetben egészen április közepéig visszanyúlik, ami egyértelműen arra utal, hogy a fiókok kompromittálása hetek óta aktív volt, sőt mi több, a CurseForge által üzemeltetett Bukkit.org fejlesztői platform is érintett lehet.
Mint az a Prism Launcher, az egyik nyílt forráskódú Minecraft-indítóprogram készítőjének nyilatkozatából kiderült, a Fracturiser nevezetű malware elsősorban Windows- és Linux-rendszereket fertőzött meg, elsősorban pedig a következő modokkal terjedt:
- Dungeons Arise,
- Sky Villages,
- Better MC modpack series,
- Dungeonz,
- Skyblock Core,
- Vault Integrations,
- AutoBroadcast,
- Museum Curator Advanced,
- Vault Integrations Bug fix,
- Create Infernal Expansion Plus.
Ezeken felül a CurseForge által működtetett Bukkitról is több modot el kellett távolítani, ezek a következők voltak:
- Display Entity Editor,
- Haven Elytra,
- The Nexus Event Custom Entity Editor,
- Simple Harvesting,
- MCBounties,
- Easy Custom Foods,
- Anti Command Spam Bungeecord Support,
- Ultimate Leveling,
- Anti Redstone Crash,
- Hydration,
- Fragment Permission Plugin,
- No VPNS,
- Ultimate Titles Animations Gradient RGB,
- Floating Damage.
Rendkívül furfangos
A fórumon hozzászóló résztvevők szerint a támadásban használt, Fracturiser névre keresztelt kártevőt különböző fázisokban juttatták fel a számítógépekre. Ezt a 0. szakasz indította el, amely akkor kezdődött, ha valaki futtatta az egyik fertőzött modot. Minden egyes szakasz azért felelt, hogy letöltse a következő szakasz fájljait egy parancs- és vezérlőszerverről. A 3. szakasz, amelyről úgy vélik, hogy a sorozat utolsó fázisa, mappákat és szkripteket hozott létre, módosításokat végzett a rendszerfájlok között, majd belekezdett az adatlopásba.
A beszámolók szerint a Fracturiser játszi könnyedséggel férhetett hozzá több webböngésző cookie-jaihoz és bejelentkezési adataihoz: a Discord, Microsoft és Minecraft hitelesítő adataihoz, személyes fájlokhoz és egyéb érzékeny adatokhoz, illetve a vágólap tartalmához.
Közösségi felületeiken a CurseForge illetékesei azt nyilatkozták, hogy egy „rosszindulatú felhasználó több fiókot is létrehozott, és rosszindulatú programokat tartalmazó projekteket töltött fel a platformra”. A tisztviselők azt is elmondták, hogy egy a Luna Pixel Studioshoz tartozó modfejlesztő fiókját is feltörték, melyet ugyancsak vírusmodok feltöltésére használtak a rosszakarók.
Vízipisztollyal oltják a tüzet
Az üggyel kapcsolatban a CurseForge továbbá elmondta, hogy jelenleg minden kapacitásukat arra fordítják, hogy minden új feltöltést és projektet átnézzenek, hogy garantálják a felhasználók biztonságát – ez idő alatt nem is engednek ki új modokat a platformra, valós segítséget azonban nem tudnak adni azoknak, akik esetleg már letöltötték a vírussal fertőzött modok egyikét.
Elmondásuk szerint a CurseForge-kliens letörlése nem ajánlott, mivel nem oldja meg a problémát, sőt sokkal több rosszat, mintsem jót tesz vele a felhasználó, törlés esetén ugyanis a fejlesztők nem tudják telepíteni a későbbiekben a javításokat. Mint írták, dolgoznak egy olyan eszközön is, amely segít abban, hogy a felhasználók a lehető legegyszerűbben megbizonyosodjanak arról, hogy ki lettek-e téve a fertőzésnek, vagy sem – addig is azonban mindenki türelmét kérik.
(Borítókép: iStockphoto / Getty Images)