Les mods Minecraft infectés propagent des logiciels malveillants via CurseForge et Bukkit –

Dans un développement récent, CurseForge, une plate-forme largement utilisée qui fournit un logiciel de plugin pour Minecraft, conseille aux utilisateurs d’arrêter immédiatement tout téléchargement ou mise à jour de mod. Cela vient après la découverte que des logiciels malveillants ont été injectés dans des dizaines de mods proposés en ligne via la plate-forme. Les comptes de développeurs de mods étaient hébergés par CurseForge et Bukkit.org, une autre plate-forme de développement gérée par CurseForge, qui est également soupçonnée d’être affectée.

Le logiciel malveillant, connu sous le nom de Fracturiser, infecte les systèmes Windows et Linux. Il a été découvert que plusieurs comptes CurseForge et dev.bukkit.org ont été compromis, et le logiciel malveillant a été injecté dans des copies de nombreux plugins et mods populaires. Certaines de ces copies malveillantes ont été détectées dans des modpacks populaires, tels que Better Minecraft. Les rapports suggèrent que les compromis sont actifs depuis des semaines, avec des signes de plugins/mod JAR malveillants dès la mi-avril.

Parmi les mods répertoriés comme concernés figurent

• Les donjons surgissent.
• Villages du ciel.
• Meilleure série de modpacks MC.
• donjonz.
• Noyau Skyblock.
• Intégrations de coffre-fort.
• Autodiffusion.
• Conservateur de musée avancé.
• Correction d’un bogue d’intégration de coffre-fort.
• Créer Infernal Expansion Plus (ce mod a été supprimé de CurseForge.

Le logiciel malveillant fonctionne par étapes, l’étape 0 étant lancée une fois qu’un mod infecté est exécuté. Chaque étape télécharge des fichiers à partir d’un serveur de commande et de contrôle, puis invite l’étape suivante. L’étape finale, que l’on pense être l’étape 3, crée des dossiers et des scripts, modifie le registre système et effectue plusieurs actions malveillantes :

• Propagation à tous les fichiers JAR du système de fichiers, infectant potentiellement d’autres mods qui n’ont pas été téléchargés depuis CurseForge ou BukkitDev
• Voler des cookies et des informations de connexion pour plusieurs navigateurs Web
• Remplacement des adresses de crypto-monnaie dans le presse-papiers par d’autres
• Vol des identifiants Discord, Microsoft et Minecraft.

À l’heure actuelle, seuls quatre des principaux moteurs antivirus détectent Fracturiser. Les utilisateurs peuvent vérifier manuellement si leurs systèmes présentent des signes d’infection en recherchant certains fichiers.

En réponse à la violation, les responsables de CurseForge ont déclaré qu’un utilisateur malveillant avait créé plusieurs comptes et téléchargé des projets contenant des logiciels malveillants sur la plate-forme. De plus, un utilisateur appartenant au développeur de mods Luna Pixel Studios a été piraté et le compte a été utilisé pour télécharger des logiciels malveillants similaires.

CurseForge travaille actuellement pour s’assurer que la plate-forme reste un endroit sûr pour télécharger et partager des mods. Dans une interview en ligne, un responsable de Luna Pixel Studio a expliqué comment un mod malveillant a été installé à partir de la dernière section mise à jour du lanceur CurseForge. Le mod a été testé pour une éventuelle inclusion dans une nouvelle mise à jour de Modpack, mais a été supprimé après avoir été jugé inadapté. Cependant, à ce moment-là, le logiciel malveillant avait déjà commencé son processus, entraînant d’autres complications.

CurseForge a publié son propre outil pour détecter les infections, mais l’efficacité de cet outil reste incertaine pour le moment. Malgré l’isolement de l’incident et la publication d’un outil de détection de logiciels malveillants pour aider les personnes concernées, la plate-forme a exhorté les utilisateurs à ne pas supprimer le client CurseForge mais à éviter de mettre à jour ou de télécharger de nouveaux mods pour le moment. L’ampleur de la distribution de logiciels malveillants pourrait être considérable compte tenu de la popularité de la plate-forme, en particulier parmi les jeunes joueurs de Minecraft. CurseForge s’efforce d’atténuer les dégâts et il est conseillé aux utilisateurs d’éviter de mettre à jour leurs mods Minecraft via CurseForge jusqu’à ce qu’ils aient donné le feu vert.