개인 자료란 (JE)

  서버 커뮤니티

Profile Dalsu 한마포 에디터

Dqlsu 4437353f80ac475a81974f19a86d1a8e

Profile

뉴스 소식

커스포지의 일부 모드가 멀웨어에 감염되었습니다

2023.06.07 조회 수 13862 추천 수 7
플랫폼 자바 에디션 (JE) 
출처 https://github.com/fractureiser-investigation/fractureiser 


커스포지 & 버킷 플랫폼 보안 취약점 발견




무슨 일이 일어나고 있나요?


마인크래프트의 가장 유명한 모드, 플러그인 배포 플랫폼인 커스포지와 버킷의 일부 프로젝트가 멀웨어에 감염된 것으로 확인되었습니다.
커스포지와 버킷 사이트의 몇몇 계정들이 해킹당해 이런 문제가 발생한 것으로 추정하고 있으며,
이미 Better MC 모드팩을 비롯한 유명한 모드, 플러그인이 멀웨어에 감염되었습니다.



해킹된 모드를 다운받으면 무슨 일이 생기나요?


해킹된 모드를 다운받으면 멀웨어가 아래와 같은 공격을 시도하는 것으로 알려졌습니다:

• 감염되지 않은 다른 모드 파일들을 감염시킵니다
• 크롬과 엣지같은 웹 브라우저에 저장된 계정 로그인 정보를 탈취합니다
• 클립보드의 암호화폐 주소를 공격자 소유로 추정되는 주소로 대체합니다
• 컴퓨터에 설치된 디스코드의 계정 권한을 탈취합니다
• 마이크로소프트 및 마인크래프트 계정 권한을 탈취합니다


따라서 추후 공지가 있기 전까진 어떤 사이트에서든 마인크래프트 모드 다운로드에 각별한 주의를 기울여야 합니다.
또한 이 멀웨어는 윈도우 디펜더나 다른 멀웨어 방지 프로그램에서 감지될 가능성이 낮으므로,
지난 2~3주 내에 커스포지나 버킷에서 다운받은 모든 파일은 잠재적인 위험이 있는 것으로 간주해야 합니다.



내가 감염되었는지 확인할 수 있는 방법이 있나요?


윈도우


수동

1. 파일 탐색기에서 숨긴 항목 보기를 활성화하고 Win + R을 누른 뒤 %LOCALAPPDATA%를 입력하고 확인을 누르세요.
2. 이름이 "Microsft Edge"인 폴더가 있으면, 감염된 것입니다.
3. 다시 Win + R을 눌러 %appdata%\Microsoft\Windows\Start Menu\Programs\Startup를 입력하고 확인을 눌러 수상한 파일이 있는지 확인하세요.

자동

위 과정으로 자동으로 실행해주는 스크립트를 다운받으세요.
Win + R을 눌러 다음 코드를 입력하고 확인을 누르세요:
powershell -executionpolicy bypass -file "%UserProfile%\Downloads\check_cf.ps1"


리눅스

아래 파일 중 하나라도 존재한다면, 감염된 것입니다.

~/.config/systemd/user/systemd-utility.service

/etc/systemd/system/systemd-utility.service

~/.config/.data/lib.jar


무슨 모드, 플러그인이 감염되었나요?


커스포지와 버킷측에서 감염된것으로 확인되는 프로젝트는 즉각 삭제하고 있습니다.
따라서 현재 멀웨어에 감염된 모드와 프로젝트는 일반적인 경로로는 다운로드 할 수 없습니다.

이미 다운받은 모드가 감염된 것인지 확인하려면, 아래의 웹 검사기를 사용해보세요.
https://douira.github.io/fractureiser-web-detector/




24개의 댓글

안암동호랭이
2023.06.07

커스포지 앱 자체에는 문제가 없는 건가요? 그럼 커스포지 앱을 통해 기존에 가지고 있던 모드팩을 적용시키려고 하는 데 그건 문제가 안되겠죠?

또 현재 감염 경로 폴더를 보니 windows에서 microsoft edge파일을 만드는 것으로 보아 아직 mac에서의 감염 상황은 찾아보지 못했는데, mac에서 플레이 하는 것 또한 문제가 될 지도 궁금하네요

Dalsu
2023.06.07
@안암동호랭이

네 커스포지 런처엔 문제가 없는것으로 확인되지만 모드팩 적용은 주의하셔야 할 것 같습니다

또한 해당 멀웨어는 윈도우와 리눅스를 타겟으로 제작되어있어서, 이 외의 OS에선 영향을 받지 않습니다

피어
2023.06.07

이젠 맬웨어까지… 사람들이 모드린스로 갈아탈 시기가 온 것 같군요.

Vander
2023.06.07

커스포지 실행은 커녕 그 어떤 모드 유포 사이트도 사용하지 않기를 권장하는 바입니다. 이 멀웨어를 분석 및 차단하려는 외국 코딩 팀에서 작성한 리포트에 의하면 커스포지는 바이러스 최초 발견지일 뿐, 현재로선 다른 사이트들이 안전할거라는 보장을 할수 없다 (At this point we cannot be confident claiming any hosting service is unaffected. Please exercise caution regardless of what site you use.)고 적혀있습니다

 

해당 바이러스는 웜(worm) 형태의 바이러스인지라, 컴퓨터에 깔려있는 모든 자바 파일(.jar)를 스캔하고 그 파일 하나하나마다 자가복제해서 심어질 수 있기 떄문입니다

감염된 모드가 설치되면 감염안된 모드 파일은 물론, 바닐라 마크에서 자체적으로 사용하는 jar 파일도 감염될 가능성을 두고 있기 때문에 바닐라 마크 플레이도 조심하라는 경고문이 올라온 판입니다(Until further notice, exercise extreme caution with Minecraft mod downloads, regardless of origin.)

 
바이러스는 잠복기가 있기때문에 당분간 컴퓨터 키실때마다 위에 악성코드 탐색기 돌려보십쇼

리포트 원문 링크를 올려두겠습니다. (영어 주의)자세한 건 이곳에서 확인하실 수 있습니다

https://hackmd.io/@jaskarth4/B1gaTOaU2

저는 일개 번역문만 가져올 뿐, 바이러스 파일이나 코딩에 관련된 지식은 없기 때문에 잘못된 정보가 포함되어 있을수는 있지만 확실한 내용들만큼은 전부 가져오려고 노력해봤습니다. 해석 오류가 있다면 지적해주시면 감사하겠습니다

신궁죽어
2023.06.11
@Vander

항상 위협은 있어왔습니다. 근데 이번건은 유명 모드들이 해킹당해서 멀웨어가 유포된 꼴이라.. 쿠키관련 취약점으로 들어와버린..

elitbi
2023.06.08

https://support.curseforge.com/en/support/solutions/articles/9000228509-june-2023-infected-mods-detection-tool

커스포지 공식 디텍션가이드/프로그램 글이 올라왔네요

참고하면 도움이될듯합니다

StarCandy
2023.06.09

좋은 정보네요

뚱이12
2023.06.10

옵티파인하고 아이리스는 괜찮나요?

Dalsu
2023.06.10
@뚱이12

옵티파인은 자체 사이트를 통해 배포하고 있어 안전하고, 아이리스 또한 최신 버전을 모드린스에서만 배포하고있기에 안전합니다

1975
2023.06.11

최근에 포지에서도 리소스팩을 다운 받았고 몇주전엔 쉐이더 같은 걸 다운 받았었는데 로컬앱데이터 열고 찾아봤는데 Microsoft Edge 라는  파일이 없으면 괜찮은건가요?

세찐찐
2023.06.12
@1975

네 jar파일이 문제 인거라 괜찮습니다

1975
2023.06.12
@세찐찐

답변 감사합니다! 혹시 바이러스 파일이

심어져있다면 증상은 무엇이고 해결방법은 무엇일까요? 포멧을 하면 해결되나요?

세찐찐
2023.06.13
@1975




windows PowerShell 을 실행뒤

$badPaths = @(

        "$HOME\AppData\Local\Microsoft Edge\libWebGL64.jar",

        "HKCU:\Software\Microsoft\Windows\CurrentVersion\Run\t",

        "$HOME\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\run.bat"

)


$res = $false


ForEach ($Path in $badPaths) {

        if (Test-Path -Path $Path) {

                  Write-Host "bad file found! please delete $Path"

                        $res = $true

        }

}


if (!($res)) {

                Write-Host "nothing found! :)"

}


를 입력하시면 확인할수있고 있으면 해결 방안은 아직 없는거 같습니다

1975
2023.06.13
@세찐찐

포멧을 해도 달라지는 건 없나요?

세찐찐
2023.06.13
@1975

포맷하면 해결됩니다

1975
2023.06.15
@세찐찐

너무 감사합니다 !! 혹시 namemc 에서 스킨 다운 받는것도 주의해야되나요?

세찐찐
2023.06.15
@1975

그것도 상관 없습니다

1975
2023.06.15
@세찐찐

매번 답글 달아주셔서 너무 감사합니다 !

1975
2023.06.16
@세찐찐

제가 한번 더 질문해서 너무 죄송합니다 제가 독해력이 좀 부족해서 한번만 더 질문하겠습니다 이미 바이러스가 전파가 돼서 바이러스가 컴퓨터에 깔리고 해킹이 된 상태여도 포멧을하면 해결이될까요?

1975
2023.06.16
@세찐찐

너무 감사드립니다 ㅠㅠ 진짜 너무 많은 질문때문에 당황스럽고 귀찮으셨을텐데 하나하나씩 다 답 해주셔서 감사해요 !! 좋은 하루 보내세요

이민호0309
2023.06.18

제가 사용하는 주력모드인 Minecraft Transit Railway모드도 감염이 될 수 있겠네요...(물론 그 모드는 모드린스에도 있지만 그것도 안심할 순 없습니다.)

Soul2008
2023.11.19

마크를 깔때부터 mincrosoft edge (2019년도에 파일 생김) 있었는데 그럼 마크를 깔때부터 감염된건가요? 수상한 파일은 없더군요.

 

Soul2008
2023.11.19
@Soul2008

한번 파일들 싹다 열어봤는데

다 빈 파일입니다. 그냥 원래 있던 Mincrosoft 파일인것 같아요.

 

뉴스 및 창작물
/files/thumbnails/761/908/003/262x150.crop.jpg?20241025153749

건축

서울 숭례문(崇禮門) 4

KHC

2024-10-25

2

/files/thumbnails/578/899/003/262x150.crop.jpg?20241010142350

건축

경주 월정교 1

KHC

2024-10-10

2

/files/thumbnails/219/899/003/262x150.crop.jpg?20241009200950

건축

송전탑+도시 2

dbasd12

2024-10-09

2

/files/thumbnails/246/898/003/262x150.crop.jpg?20241008102328

레드스톤

단다단 - 오토노케(オトノケ) | 마인크래프트 노트블럭 커버

노트블럭전문가

2024-10-08

1

/files/thumbnails/348/896/003/262x150.crop.jpg?20241006103035

디도스/봇테러등등을 낚는 방법 4

물귀신

2024-10-06

3

/files/thumbnails/839/895/003/262x150.crop.jpg?20241006021227

SRV레코드는 보안도메인이 아닙니다. [서버오픈시 필독]

물귀신

2024-10-05

4