Qu’est-ce qui vient de se passer? Plusieurs mods et plugins Minecraft populaires hébergés sur des plates-formes comme CurseForge ont été infectés par des logiciels malveillants, il est donc conseillé aux joueurs de s’abstenir de télécharger ou de mettre à jour des mods et de vérifier les signes d’infection sur leurs systèmes. Les lecteurs sur macOS ne sont pas affectés, car le malware est codé en dur pour les systèmes Windows et Linux.
L’une des raisons pour lesquelles Minecraft est toujours un jeu si populaire après 14 ans est qu’il se nourrit de la créativité des joueurs. La communauté de modding qui s’est développée autour du jeu a élargi l’expérience vanille de plusieurs façons, de l’amélioration des visuels à la modification des mécanismes de jeu ou à la création de jeux entièrement nouveaux dans son bac à sable numérique.
Cependant, cette popularité attire désormais des acteurs malveillants. L’une des plus grandes plates-formes en ligne où les joueurs peuvent trouver des mods pour Minecraft conseille aux utilisateurs d’arrêter de télécharger ou de mettre à jour les mods téléchargés à partir de ses serveurs. Comme repéré par ArsTechnica, CurseForge a signalé cette semaine que des pirates avaient infecté plusieurs projets Minecraft téléchargés sur les serveurs Curseforge et CraftBukkit.
Cela a commencé avec des pirates informatiques compromettant un certain nombre de comptes de développeurs et injectant des logiciels malveillants appelés Fracturiser dans leurs plugins et mods les plus populaires. Certaines copies malveillantes ont même été intégrées dans des packs de mods comme Better Minecraft, et les premiers rapports de plugins et de mods infectés ont été publiés à la mi-avril.
Les créateurs de Prism Launcher, un lanceur Minecraft open source, pensent que les infections sont répandues et ont répertorié les mods et plugins qui contiennent Fracturiser. La liste comprend Sky Villages, Dungeons Arise, Dungeonz, Better Minecraft mudpack series, Vault Integrations, Skyblock Core, Museum Curator Advanced, Autobroadcast, Create Infernal Expansion Plus, UVision Enhanced, UVision Server, UVision Lite, Additional Weapons+ et Vault Integrations Bug fix .
Ce ne sont que les paquets infectés confirmés de Curseforge. Le malware Fracturiser est également intégré dans plusieurs projets hébergés sur Bukkit, notamment Haven Elytra, Display Entity Editor, Simple Harvesting, The Nexus Event Custom Entity Editor, Easy Custom Foods, MCBounties, Ultimate Leveling, Anti Command Spam Bungeecord Support, Hydration, Anti Redstone Crash, No VPNS, Fragment Permission Plugin, Floating Damage, Skelegram, Ultra Swords Mod et Ultimate Titles Animations Gradient RGB.
Quant au malware Fracturiser, il s’exécute sur les systèmes Windows et Linux et fonctionne en trois étapes. La première étape est lorsque quelqu’un exécute l’un des mods infectés. Les deux étapes suivantes téléchargent des fichiers à partir d’un serveur de commande et de contrôle et effectuent des étapes supplémentaires pour infecter tous les autres mods Minecraft trouvés sur le PC cible, ainsi que pour voler les cookies et les informations de connexion des navigateurs Web, Discord et Minecraft. Le logiciel malveillant supplémentaire téléchargé par Fracturiser remplacera également les adresses de crypto-monnaie dans le presse-papiers.
Au moment d’écrire ces lignes, seules quelques solutions antivirus commerciales peuvent détecter les fichiers Fracturiser. Cela dit, les personnes de Prism Launcher ont déjà créé des scripts Windows et Linux que vous pouvez exécuter pour vérifier l’infection. Vous pouvez également rechercher manuellement les signes du nouveau logiciel malveillant en recherchant les éléments suivants :
- Linux : ~/.config/.data/lib.jar
- Windows : %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar (ou ~\AppData\Local\Microsoft Edge\libWebGL64.jar)
- Assurez-vous d’afficher les fichiers cachés lors de la vérification
- Oui, « Microsoft Edge » avec un espace. MicrosoftEdge est le répertoire légitime utilisé par Edge réel.
- Vérifiez également le registre pour une entrée à HKEY_CURRENT_USER:\Software\Microsoft\Windows\CurrentVersion\Run
- Ou un raccourci dans %appdata%\Microsoft\Windows\Start Menu\Programs\Startup
- Tous les autres systèmes d’exploitation : non affectés. Le malware est codé en dur pour Windows et Linux uniquement. Il est possible qu’il reçoive une mise à jour ajoutant des charges utiles pour d’autres systèmes d’exploitation à l’avenir.
Si vous avez trouvé des signes d’infection, vous pouvez utiliser deux outils distincts pour nettoyer votre système, comme décrit par Curseforge dans ce guide. Il est également important de changer vos mots de passe pour les applications et services que vous avez utilisés récemment sur votre PC infecté.
Découvrez le reportage du mois (sous-titré en français), l’IA gagnera t-elle face aux champion du monde du jeu de Go ? :
