Mincraft Mods auf CursedForge mit fractureiser kompromittiert

[nostandard]

Aktuell gibt es Hinweise, dass es einen Angriff auf die vorallem bei Minecraft Spielen beleibte Mod Download Seite CursedForge und Launcher gibt.
https://github.com/fractureiser-investigation/fractureiser
Diverse Mod sind mit wurden mit der Malware fractureiser kompromittiert und offline genommen.
https://support.curseforge.com/en/s...28509-june-2023-infected-mods-detection-tool/
Ziel der Malware ist wohl die Zugangsdaten oder den OAuth2 Token von dem Microsoft oder Mojang Account abzufangen

Was bislang bekannt ist was die Malware macht:

• Propagate itself to all jar files on the filesystem, possibly infecting mods that were not downloaded from CurseForge or BukkitDev
• Steal cookies and login information for many web browsers
• Replace cryptocurrency addresses in the clipboard with alternates that are presumably owned by the attacker
• Steal Discord credentials
• Steal Microsoft and Minecraft credentials

Aktuell würde ich jedem empfehlen:

• den nicht den CursedForge Launcher zu benutzen (ggf. deinstallieren)
• keine Mod oder Mod Updates für Minecraft herunterzuladen
• Den OverwolfUpdater Service zu deaktivieren falls CursedForge nicht deinstalliert wurde
• Davon ausgehen, das alle Mods die in den letzten zwei Wochen heruntergeladen wurden kompromittiert sind

@CB Team ich weiß nicht ob das eine Newswert ist.

 

[Termy]

https://prismlauncher.org/news/cf-compromised-alert/ hier gibt es auch eine Anleitung zum Prüfen, ob man befallen ist - wobei ich natürlich nicht weiß, wie aussagekräftig das ist oder ob es noch andere Infektionswege gibt.