【提醒】部分Curseforge账号疑似被盗用，或上传恶意Mod文件

[-匿名-]

据国内外开发者消息称，自2023年5月24日始，Curseforge有部分账号疑似被盗用，上传了一些包含恶意程序的模组和整合包，主要涉及的游戏版本包括1.16.5、1.18.2和1.19.2，许多知名的模组和整合包受到了影响。包括When Dungeons Arise(地牢浮现之时)、Sky Villagers(天空村庄)、BetterMC(更好的MC)等模组和整合包。根据这些受影响的Curseforge账号来看，很有可能是有人绕过了账号的两步验证直接登入账号来上传文件。

这些受影响的模组和整合包，在启动游戏后会自动从互联网下载一个Java文件并将其加载进游戏之中，执行一个命令来再次下载恶意程序，并将其保存为可执行文件。此程序可能会在您的电脑上留下后门，请慎重对待。该恶意程序主要针对Linux用户，诸如服务器等。但Windows用户也可能受此影响。如果你已经下载了受影响的模组或整合包，请立即对电脑进行全盘杀毒并隔离文件，以免造成不良影响。

另外，近期请谨慎下载来自Curseforge的资源，包括使用部分启动器通过Curseforge API下载模组或整合包。
关于本次事件更详细的介绍以及自查方法，请查看：https://www.mcbbs.net/thread-1447445-1-1.html

 

[Cmbself]

关于 CurseForge 的病毒的补充( 2023.06.08 00:20) Backbones 群组进行分析后发现，该病毒有 『逃逸虚拟机』 『联网开放端口等待指令』 『根据内部模板感染文件』 的功能。 为了您的安全，请不要在身边的设备上测试此病毒，即使是在虚拟机里。 模组/整合包开发者的电脑被感染后，做出来的模组或整合包也会携带此病毒，其余玩家游玩这个模组的过程中也会染上病毒。 Modrinth和Curseforge都已关闭模组上传功能。

 

[XieXiLin]

『提醒』
杀毒软件目前 不能扫描出该恶意软件。如果你在最近运行过带新版 Mod 的 Minecraft，且担心自己已被感染，可以运行 CurseForge 官方发布的检测工具:
(龙腾猫跃 提供的地址)
下载 1 | 下载 2
如果检测工具发现了恶意软件，我个人建议按照以下方式处理:
1. 按照 https://prismlauncher.org/news/cf-compromised-alert/ 的说明运行杀毒脚本
2. 修改你在这台电脑上登录过的 所有账号 的密码：不仅限于 MC 账号，它还会窃取你在浏览器中的登录凭证
3. 删除电脑上的 所有 MC Mod、版本核心文件、服务器插件，重新下载安装它们：即使它们可能是很久之前下载的，现在也已经被感染了
即使你没有被感染，也请 谨慎下载安装任何今年 5 月以后的 Mod、整合包、服务器插件，直至事情被彻底解决。

『再次、再次、再次温馨提醒』
根据反编译后的代码研究报告显示，该病毒具有 『根据自带模板感染其他文件』 『联网获取来自攻击者的指令』 『逃逸虚拟机』 的功能，请您 不要 随意运行来源不明的文件、下载 5 月份为起始点发布更新的模组版本、在 虚拟机 (即使是 Windows Sandbox，KVM 也需要注意) 内运行病毒。