Dans la nuit du 6 au 7 juin 2023, des développeurs de mods ont identifié la présence d'un malware particulièrement dangereux dans plusieurs mods et plugins disponibles sur les sites CurseForge et Bukkit, sites édités par Overwolf Ltd.

We are looking into an incident where a malicious user uploaded projects to the platform. This is relevant only to Minecraft users and we have banned all accounts involved.

CurseForge itself is not compromised in any way! Please follow the thread below for more information 👇

— CurseForge (@CurseForge) June 7, 2023

Nous enquêtons sur un incident au cours duquel un utilisateur malveillant a téléchargé des projets sur la plateforme. Cet incident ne concerne que les utilisateurs de Minecraft et nous avons banni tous les comptes concernés.
CurseForge lui-même n'est pas compromis de quelque manière que ce soit !

Ce malware, nommé fractureiser en référence au nom du compte ayant publié le fichier infecté le plus remarqué, est responsable d'une série d'actions malveillantes en trois étapes.

Tout d'abord, une fois le mod ou le plugin infecté utilisé, le malware installe une autre jar dans le système de l'utilisateur. Les objectifs de cette archive malveillante sont multiples : elle vise à aspirer les données personnelles, à contaminer d'autres mods présents sur le système, et même à tenter de voler des portefeuilles de crypto-monnaies.

Si certaines actions du virus demeurent encore incertaines, les développeurs conseillent d'agir rapidement afin de minimiser les conséquences néfastes.

Les mods et plugins identifiés comme étant potentiellement infectés, selon les informations fournies par le site PrismLauncher, sont les suivants :

CurseForge :

• Dungeons Arise
• Sky Villages
• Better MC modpack series
• Dungeonz
• Skyblock Core
• Vault Integrations
• AutoBroadcast
• Museum Curator Advanced
• Vault Integrations Bug fix
• Create Infernal Expansion Plus (Mod retiré de CurseForge)

Bukkit :

• Display Entity Editor
• Haven Elytra
• The Nexus Event Custom Entity Editor
• Simple Harvesting
• MCBounties
• Easy Custom Foods
• Anti Command Spam Bungeecord Support
• Ultimate Leveling
• Anti Redstone Crash
• Hydration
• Fragment Permission Plugin
• No VPNS
• Ultimate Titles Animations Gradient RGB
• Floating Damage

Pour se débarrasser de ce malware, voici les étapes recommandées :

1. Si vous utilisez Windows, il est recommandé d'exécuter l'outil de détection développé par Overwolf/CurseForge, disponible à l'adresse suivante : [lien GitHub]
   Si vous utilisez Linux ou MacOS, veuillez utiliser l'outil de détection développé par MCRcortex, disponible ici : [lien GitHub]
2. Si le logiciel de détection confirme la présence du malware, il vous indiquera le chemin des fichiers infectés. Vous devrez alors afficher les fichiers cachés et supprimer les fichiers signalés. Notez que ces fichiers ne sont pas de véritables fichiers de Microsoft Edge, car le virus usurpe l'identité du navigateur.

Une fois les fichiers infectés supprimés, il est recommandé de désinstaller les mods ou plugins concernés, puis de les télécharger à nouveau depuis des sources fiables telles que Modrinth ou le site officiel de SpigotMC.

Après avoir effectué la désinfection, il est conseillé de prendre les mesures suivantes :

• Modifier les mots de passe de tous vos comptes, partout où cela est possible.
• Activer l'authentification à deux facteurs sur chaque compte qui le propose.

Il convient de noter que la situation concernant les comptes Discord potentiellement compromis n'a pas encore été résolue. Toutefois, les articles sur HackMD, Github et PrismLauncher devraient être mis à jour afin de de détailler un peu plus la situation et ses conséquences.

Sources:

https://hackmd.io/B46EYzKXSfWSF35DeCZz9A
https://github.com/fractureiser-investigation/fractureiser
https://support.curseforge.com/en/support/solutions/articles/9000228509-june-2023-infected-mods-detection-tool/
https://minecraft.fr/minecraft-un-malware-decouvert-dans-des-mods-sur-curseforge-et-bukkit/
https://prismlauncher.org/news/cf-compromised-alert/