【提醒】部分Curseforge账号疑似被盗用，或上传恶意Mod文件

据国内外开发者消息称，自2023年5月24日始，Curseforge有部分账号疑似被盗用，上传了一些包含恶意程序的模组和整合包，主要涉及的游戏版本包括1.16.5、1.18.2和1.19.2，许多知名的模组和整合包受到了影响。包括When Dungeons Arise(地牢浮现之时)、Sky Villagers(天空村庄)、BetterMC(更好的MC)等模组和整合包。根据这些受影响的Curseforge账号来看，很有可能是有人绕过了账号的两步验证直接登入账号来上传文件。
9 p. t9 d; l' a9 N2 q
. I; U- A& t; }9 m4 N' N: T这些受影响的模组和整合包，在启动游戏后会自动从互联网下载一个Java文件并将其加载进游戏之中，执行一个命令来再次下载恶意程序，并将其保存为可执行文件。此程序可能会在您的电脑上留下后门，请慎重对待。该恶意程序主要针对Linux用户，诸如服务器等。但Windows用户也可能受此影响。如果你已经下载了受影响的模组或整合包，请立即对电脑进行全盘杀毒并隔离文件，以免造成不良影响。
, C' y1 k( U. Q; a, W: N& c' ?6 P
另外，近期请谨慎下载来自Curseforge的资源，包括使用部分启动器通过Curseforge API下载模组或整合包。
关于本次事件更详细的介绍以及自查方法，请查看：https://www.mcbbs.net/thread-1447445-1-1.html

1 F5 i9 H$ g& q6 e+ i3 W来自圈子: MTRCommunity

! j" Z/ ]5 |2 I0 n; s9 t" S（2023.6.7 9:00）截至几个小时前，数十种模组及其整合包，主要是在1.16.5 - 1.19.4上的模组已被更新，包括恶意文件。这些项目包括《When Dungeons Arise》、《Sky Villages》和《Better MC》系列整合包。这些账户的Curseforge资料显示有人直接登录它们。
3 [* e2 Z* n% Y- h; b
9 l0 R$ @- x. d# }$ i4 F# W% o* }  ~( N建议在此问题被解决之前，暂缓在CurseForge下载或更新任何模组或整合包！（或者使用Modrinth）
% \' H/ E6 v7 ~- [
5 X2 G- D% H# K+ F/ R% M! m如何删除
( L2 D* \. j! Q对于Unix： ~/.config/.data/lib.jar

# {6 [; y6 `! I+ [1 H# W+ p对于Windows：%LOCALAPPDATA%/Microsoft Edge/libWebGL64.jar或~/AppData/Local/Microsoft Edge/libWebGL64.jar
8 Z, S, g$ a- y5 D! h0 `
  e$ I4 Z) u2 p2 }0 o
% N/ R% k( o. D3 v+ g8 t
如果看到一个名为libWebGL64.jar的文件，请删除它。如果该文件存在，你需要启用 "查看隐藏文件 "来显示它。你可以在网上找到这方面的指南。
! B0 a8 l3 l6 D2 Y/ E& l$ N+ C
4 `+ r% ]( V0 ~$ I$ R建议在这几天内不要使用CurseForge下载MTR模组，建议使用Modrinth。
1 C+ s# g+ ^& ^7 C$ ^* J& H
* ?! p% z* z7 ?5 `3 _: N

XieXiLin:
- P9 q8 E0 A+ B& z7 o目前 CurseForge 和 Modrinth 皆已完成病毒的扫描和清理工作，但还请您不要认为 『已经没事了，模组可以随便下了』，该病毒可能会以 3.0 版本卷土重来，所以还请您留心。

) O  d; f! a* H4 I& N/ ^# ?话说这黑客也不行啊，Edge的路径都没搞明白
. c# _" V, c" S0 Q) h

『提醒』
! V2 T% W" j. M4 E" Y杀毒软件目前 不能扫描出该恶意软件。如果你在最近运行过带新版 Mod 的 Minecraft，且担心自己已被感染，可以运行 CurseForge 官方发布的检测工具:
0 y0 y" r: K2 v6 ^(龙腾猫跃 提供的地址)
+ }* e0 `  B( A* J8 {% E下载 1 | 下载 2
- y/ Q1 ?& K" A: m2 }) w如果检测工具发现了恶意软件，我个人建议按照以下方式处理:
1. 按照 https://prismlauncher.org/news/cf-compromised-alert/ 的说明运行杀毒脚本
2. 修改你在这台电脑上登录过的 所有账号 的密码：不仅限于 MC 账号，它还会窃取你在浏览器中的登录凭证
9 }" E* F8 P" m: G/ M3. 删除电脑上的 所有 MC Mod、版本核心文件、服务器插件，重新下载安装它们，即使它们可能是很久之前下载的，现在也已经被感染了
即使你没有被感染，也请 谨慎下载安装任何今年 5 月以后的 Mod、整合包、服务器插件，直至事情被彻底解决。
1 B1 g+ [9 G" E% U! J4 o; E
- w, [# x  V8 }2 b& Z# K6 W『再次、再次、再次温馨提醒』
1 U8 x) w0 N& n: U" r% @( Z根据反编译后的代码研究报告显示，该病毒具有 『根据自带模板感染其他文件』 『联网获取来自攻击者的指令』 『逃逸虚拟机』 的功能，请您 不要 随意运行来源不明的文件、下载 5 月份为起始点发布更新的模组版本、在 虚拟机 (即使是 Windows Sandbox，KVM 也需要注意) 内运行病毒。
/ W& e; f4 b5 r$ l8 y
- a7 q6 T  D9 G0 ?6 A1 Z感谢您对论坛的支持。

目前各大 Mod 网站已完成了病毒清理工作，主流杀毒软件已支持查杀该病毒，且病毒服务器和域名均已被举报下线。可以几乎确定，该病毒已经失去了传播和发作能力。

. B  D' G! V9 {# y4 B, N1 r因此，大家可以该干啥干啥了，事情已经大致结束了！
; F; q1 e5 O2 d" i$ O9 K+ o——作者：龙腾猫跃 https://www.bilibili.com/read/cv24201292 出处：bilibili

MSnj_studioX 发表于 2023-6-7 18:01
$ T& f" @+ D, m; I* q& H（2023.6.7 9:00）截至几个小时前，数十种模组及其整合包，主要是在1.16.5 - 1.19.4上的模组已被更新，包括 ...

话说他为什么不把Google和Forefox算进去，目前还是有人用win7玩啊

太可怕了，还好我没有用过上述模组，但是也不能保证其他模组没有问题，所以还是得全面检查好一点

关于 CurseForge 的病毒的补充( 2023.06.08 00:20)
1 I3 }1 {1 w; y5 Y1 cBackbones 群组进行分析后发现，该病毒有 『逃逸虚拟机』 『联网开放端口等待指令』 『根据内部模板感染文件』 的功能。
为了您的安全，请不要在身边的设备上测试此病毒，即使是在虚拟机里。
* _% m; c# ?6 u! {' }, w4 h/ H模组/整合包开发者的电脑被感染后，做出来的模组或整合包也会携带此病毒，其余玩家游玩这个模组的过程中也会染上病毒。
& x6 p- Z4 H; M1 o2 J( v1 Y+ }7 bModrinth和Curseforge都已关闭模组上传功能。

话说这病毒什么机制，是下载后立刻运行，还是启动游戏时同时运行
如果不是立刻运行，我下载一个下来拖进编译器研究研究（）
而且说了这么半天，这玩意到底对电脑有啥危害也没讲清楚（？

HOMO-BlockChild 发表于 2023-6-8 18:04
话说这病毒什么机制，是下载后立刻运行，还是启动游戏时同时运行
如果不是立刻运行，我下载一个下来拖进编 ...

! V3 {* h6 a8 C7 w: o+ urce呗，后门能干啥
7 o! e( ~9 W5 k( C. s! f3 P应该是留潜伏程序等动态下发，像之前并夕夕的那个毒一样

幸好没事
" F* D3 L7 ^4 l8 W

6