Minecraft: Mods und Plugins auf CurseForge waren mit Malware infiziert
CurseForge, eine Website für von der Community generierte Plugins, Addons und Mods für Spiele wie Minecraft, StarCraft 2, World of Warcraft oder Die Sims 4, wurde kompromittiert. Über Downloads wurde Malware des Typs „fractureiser“ in die Systeme der Nutzer eingeschleust. Inzwischen soll das Problem behoben sein.
Nur 6.000 Downloads sollen betroffen gewesen sein
CurseForge hat den Vorfall bestätigt und bereits gehandelt: Alle als infiziert identifizierten Dateien sollen von der Plattform entfernt und die dafür verantwortlichen Accounts (die bis auf den Account der kompromittierten Account der LunaPixelStudios neu angelegt wurden) ebenfalls gelöscht worden sein. Aktuell sei der gefahrlose Download über die Plattform daher wieder möglich.
Mit 6.000 Downloads seien dabei „nur 0,015 Prozent des täglich anfallenden Download-Aufkommens“ betroffen worden, erklärt der Anbieter.
Die Plattformen haben bereits reagiert
Laut Prism Launcher hat es die Malware in den betroffenen Plugins, Mods und Modpacks mit hoher Wahrscheinlichkeit auf Login-Daten des Browsers und anderer installierter Software abgesehen. Downloads von nachweislich infizierten Angeboten aus den letzten zwei bis drei Wochen sollten als potentiell betroffen angesehen werden. CurseForge sprich davon, dass das Problem seit ein paar Tagen bestand, die Auswirkungen sich aber erst in den letzten 24 Stunden gezeigt hätten. Die Malware wird wahrscheinlich noch nicht von Virenscannern oder dem Windows Defender erkannt.
Nutzer, die betroffene Mods der Plugins heruntergeladen haben, sollten diese wieder entfernen. Da davon ausgegangen werden muss, dass sich die Malware auf den befallenen Rechnern an mehreren Orten eigene Backups anlegt und deshalb nicht so einfach gelöscht werden kann, sollte Minecraft auch dann aber nicht gestartet werden.
Bin ich betroffen?
Zuvor sollten Nutzer der Plattform sicherstellen, dass sich die Malware wirklich nicht auf ihrem System befindet. CurseForge hat zu diesem Zweck sowohl für Windows als auch Linux automatisierte Tools bereitgestellt.
Bekannte Fälle
Folgende Projekte der LunaPixelStudios waren laut CurseForge infiziert, wurden inzwischen aber wieder hergestellt:
- Buried Barrels
- Sky Villages [Forge/Fabric]
- Simply Houses
- When Dungeons Arise -Forge/Fabric
- Skyblock Core
- Prominence [FORGE]
- Medieval MC [FORGE] - MMC3
- Better MC [FORGE] - BMC3
Folgende Projekte von neu angelegten Account waren infiziert und wurden dauerhaft von der Plattform entfernt:
- Golem Awakening
- Phanerozoic Worlds
- Autobroadcast
- Museum Curator Advanced
- Vault Integrations (Bug Fix) *Note - Not the Modpack Vault Integrations
- AmazingTitles
- dungeonx * Note - Not DungeonZ
- HavenElytra
- DisplayEntityEditor
- The Nexus Event Custom Event
- SimpleHarvesting
- McBounties
- More and Ore advanced
- Easy Custom Foods
- AntiCommandSpam Bungeecord Support
- UltimateLevels
- AntiRedstoneCrash
- hydrationPlugin
- NoVPN
- Fragment Permission Plugin
- Anti ChatReport
- Additional Weapons+
- UVision ENHANCED(server pack only)
- UVision Server(server pack only)
- UVision LITE (server pack only)
- Create: Diesel and Oil Generators
- Ultra Swords Mod
- Simple Frames
- AntiCrashXXL
- Skelegram - The Skript Telegram Addon!
Für tiefer greifende Details und weitere News wurde auf Github.com ein Repository zum Virus eingerichtet.
Wir danken unseren Community-Mitgliedern „JerryX“ und „nostandard“ für den Hinweis zu dieser Nachricht.
Fabian und 
Jan-Frederik