
Les pirates ont utilisé les plates-formes de modding Minecraft populaires Bukkit et CurseForge pour distribuer un nouveau logiciel malveillant voleur d’informations « Fractureiser » via des modifications téléchargées et en injectant du code malveillant dans des projets existants.
Selon plusieurs rapports, l’attaque a commencé lorsque plusieurs comptes CurseForge et Bukkit ont été compromis et utilisés pour injecter du code malveillant dans des plugins et des mods, qui ont ensuite été adoptés par des modpacks populaires tels que « Better Minecraft », qui compte plus de 4,6 millions de téléchargements.
Notamment, de nombreux modpacks impactés ont été compromis même s’ils étaient prétendument protégés par une authentification à deux facteurs. Dans le même temps, les mises à jour ont été archivées immédiatement pour ne pas apparaître en public mais ont néanmoins été poussées aux utilisateurs via l’API.

Les mods et modpacks suivants ont été confirmés comme impactés par le malware Fractureiser :
CurseForge :
- Les donjons surgissent
- Villages du ciel
- Meilleure série de modpacks MC
- Fabuleusement optimisé (s’avère ne pas être compromis)
- Donjonz
- Noyau Skyblock
- Intégrations de coffre-fort
- AutoDiffusion
- Conservateur de musée Avancé
- Correctif de bogue d’intégration de coffre-fort
- Create Infernal Expansion Plus – Mod supprimé de CurseForge
Boukkit :
- Afficher l’éditeur d’entités
- Havre Elytra
- L’éditeur d’entités personnalisées d’événement Nexus
- Récolte simple
- MCBounties
- Aliments personnalisés faciles
- Assistance anti-spam Bungeecord
- Mise à niveau ultime
- Anti-crash de Redstone
- Hydratation
- Plug-in d’autorisation de fragment
- Pas de VPN
- Ultimate Titles Animations Dégradé RVB
- Dégâts flottants
Les joueurs concernés incluent ceux qui ont téléchargé des mods ou des plugins de CurseForge et dev.bukkit.org au cours des trois dernières semaines, mais l’étendue de l’infection n’a pas encore été pleinement appréciée.
Le téléchargement et l’exécution d’un mod infecté déclenchent une chaîne de compromis sur tous les mods de l’ordinateur infecté.
Luna Pixel Studios a informé sur Discord que l’un de ses développeurs avait essayé un mod infecté, ce qui avait entraîné une compromission de la chaîne d’approvisionnement qui avait également eu un impact sur ses modpacks.
Les joueurs de Minecraft doivent éviter d’utiliser le lanceur CurseForge ou de télécharger quoi que ce soit à partir des référentiels de plugins CurseForge ou Bukkit jusqu’à ce que la situation s’éclaircisse.
Détails du logiciel malveillant Fracturer
Un rapport technique de Hackmd et une analyse de Breachtrace apportent plus de lumière sur le malware Fractureiser, expliquant que l’attaque a été menée en quatre étapes, à savoir les étapes 0, 1, 2 et 3.
« Stage 0 » est le vecteur d’attaque initial, lorsque de nouveaux mods ont été téléchargés ou que des mods légitimes sont détournés pour inclure une nouvelle fonction malveillante à la fin de la classe principale du projet.

Lorsque la fonction est exécutée, une connexion sera établie à l’URL http://85.217.144[.]130:8080/dl et téléchargera un fichier appelé dl.jar, qui sera ensuite exécuté en tant que nouvelle classe Utility.
Hackmd indique que la classe aura des arguments de chaîne spécifiques à chaque mod compromis.
Lorsque dl.jar est exécuté, le logiciel malveillant se connecte à https://files-8ie.pages.dev/ip et récupère une adresse IP pour le serveur de commande et de contrôle de l’attaquant.

Hackmd indique que le malware se connectera également à cette adresse IP sur le port 8083 pour télécharger un fichier et l’enregistrer sous « %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar » (Windows) ou « ~/.config/.data/lib.jar » (Linux).
Le logiciel malveillant configurera ensuite le fichier JAR pour qu’il se lance automatiquement dans Windows en configurant une entrée de démarrage automatique dans la clé de registre « Run ». Pour Linux, il créera un nouveau service sous /etc/systemd nommé « systemd-utility.service ».
Llib.jar ou libWebGL64.jar est un chargeur obfusqué pour Windows et Linux censé télécharger une charge utile supplémentaire appelée « client.jar » [VirusTotal].
L’exécutable client.jar est « l’étape 3 » et est un mélange très obscur de code Java et de code Windows natif sous la forme d’un malware voleur d’informations nommé hook.dll.
Les chercheurs affirment que le logiciel malveillant de vol d’informations Fractureiser est capable de :
- auto-propagation à tous les fichiers .jar du système de fichiers en y injectant « Stage 0 »,
- voler les cookies et les informations d’identification de compte stockées sur les navigateurs Web,
- remplacer les adresses de portefeuille de crypto-monnaie copiées dans le presse-papiers du système,
- voler les identifiants du compte Microsoft,
- voler les identifiants du compte Discord,
- voler les informations d’identification du compte Minecraft à partir d’une variété de lanceurs.
Le logiciel malveillant crée également un raccourci Windows qui provoque l’exécution d’un script à l’adresse http://85.217.144[.130/script au démarrage de Windows.

Ce script vérifiera si Java est installé, et sinon le téléchargera sur azul.com. Le script téléchargera ensuite à nouveau le fichier dl.jar sur %temp%\installer.jar et l’exécutera, susceptible de déployer de nouvelles mises à jour de logiciels malveillants au fur et à mesure de leur publication.

Que doivent faire les joueurs de Minecraft ?
Il est toujours conseillé aux joueurs de Minecraft utilisant des mods de faire preuve d’une extrême prudence lors du téléchargement de mods, mais encore plus maintenant pendant que cette campagne Fractureiser est active
Ceux qui craignent que Fractureiser ne les ait infectés peuvent utiliser des scripts de scanner (obtenir pour Windows, obtenir pour Linux) fournis par la communauté pour vérifier les signes d’infection sur leur système.

Les vérifications manuelles qui indiquent une infection incluent la présence des fichiers suivants ou des clés de registre Windows :
- Entrées inhabituelles sous la clé de registre ‘HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run’. Les utilisateurs Windows peuvent utiliser l’Éditeur du Registre pour afficher ces entrées ou l’onglet Démarrage du Gestionnaire des tâches.
- Un raccourci dans %AppData%\Microsoft\Windows\Start Menu\Programs\Startup », comme décrit ci-dessous.
- Le fichier ~/.config/.data/lib.jar sous Linux.
- Les fichiers %LOCALAPPDATA%\Microsoft Edge\libWebGL64.jar ou ~\AppData\Local\Microsoft Edge\libWebGL64.jar (sous Windows).
- Services Systemd inhabituels sous /etc/systemd/system. Il est probablement nommé ‘systemd-utility.service’.
- Un fichier dans %Temp%\installer.jar.
Il reste encore beaucoup d’inconnues sur le logiciel malveillant Fractureiser, de sorte que de nouveaux indicateurs de compromission pourraient être ajoutés à l’avenir.
Au fur et à mesure que la journée avance, de plus en plus de moteurs antivirus commenceront à détecter les exécutables Java malveillants. Ainsi, si vous analysez votre ordinateur et ne trouvez rien, il est fortement suggéré d’effectuer des analyses plus tard dans la journée.
De plus, si vous êtes infecté, vous devez nettoyer votre ordinateur, idéalement en réinstallant le système d’exploitation, puis passer à des mots de passe uniques sur tous vos comptes. Lorsque vous changez de mot de passe, concentrez-vous sur les comptes sensibles, tels que les comptes cryptographiques, les e-mails, les comptes bancaires et autres propices à la fraude.