From 9ec547278f535409043ed966cd4a825cc5634f8a Mon Sep 17 00:00:00 2001 From: RickySHD <36279484+RickySHD@users.noreply.github.com> Date: Sat, 10 Jun 2023 16:25:55 +0200 Subject: [PATCH 1/8] README.md translated to Italian * Begin of IT localisation. Added commit reference * Translated first 3 sections. * Fixed some typos. * Completed README.md translation. --- lang/it_it/README.md | 49 ++++++++++++++++++++++++++++++++++++++++++++ 1 file changed, 49 insertions(+) create mode 100644 lang/it_it/README.md diff --git a/lang/it_it/README.md b/lang/it_it/README.md new file mode 100644 index 00000000..d083df56 --- /dev/null +++ b/lang/it_it/README.md @@ -0,0 +1,49 @@ +

+ Logo
+ Traduce/Translates c15def8 + — 10/06/2023 2:37 AM GMT+2 +

+ +*Documentazione in fase di aggiornamento* + +## Di che si tratta? +`fractureiser` è un [virus](https://en.wikipedia.org/wiki/Computer_virus) trovato in molti progetti di Minecraft caricati su CurseForge e sul sito sviluppatori di CraftBukkit. Il malware è integrato in molteplici mod, alcune delle quali sono state aggiunte a modpack molto popolari. Attualmente il malware sembra prendere di mira solo i sistemi Windows e Linux. + +Se lasciato libero di agire fractureiser può essere **INCREDIBILMENTE PERICOLOSO** per il tuo dispositivo. È altamente consigliato leggere questo documento per capire come tenersi al sicuro. + +Abbiamo nominato questo malware `fractureiser` perché è il nome dell'account CurseForge che ha caricato i suddetti file infetti inizialmente. + +## Cosa HAI BISOGNO di sapere + +### [Se giochi a Minecraft moddato CLICCA QUI](docs/users.md) + +Se sei un normale giocatore moddato e non uno sviluppatore, il link qui sopra è tutto quello di cui hai bisogno. Contiene le informazioni essenziali sugli effetti del malware, una guida per verificare se si è infetti e come rimuoverlo, ed una FAQ. + +Chiunque voglia avere più informazioni può leggere i seguenti documenti: +* [Timeline degli eventi](docs/timeline.md) +* [Analisi tecnica](docs/tech.md) + +### Non ho mai usato alcuna mod su Minecraft + +Non sei infetto. + +## Stato attuale dell'investigazione +Abbiamo una buona comprensione di come fractureiser opera dallo Stage 0 al 3. Ci sono alcune lacune, ma i server usati per l'attacco sono offline e, per quanto ne sappiamo, *nuove* infezioni non sono possibili. Tuttavia quelle precedenti potrebbero ancora essere attive. + +Attualmente stiamo refinendo la documentazione rivolta agli utenti, fai riferimento a quella per altre risorse. + +## Meeting seguente +L'08/06/2023 il Team di Mitigazione di fractureiser ha tenuto un meeting con membri noti della comunità per discutere in merito a misure di prevenzione e soluzioni per futuri problemi di entità simile. +Leggi [questa pagina](docs/2023-06-08-meeting.md) per l'agenda dell'evento. + +## Informazioni aggiuntive + +Se sei in possesso di file relativi a questo malware puoi caricarli su https://wormhole.app e scrivere una mail con l'URL a fractureiser.investigation@opayq.com — questa casella di posta è controllata da unascribed, e qualsiasi messaggio inviato sarà condiviso con il resto del team. Se vuoi contattarci per altri motivi invia una mail a jaskarth4@gmail.com. + +Se copi parti di questo documento in altri posti, *per favore* inserisci un link che colleghi a questa [repository GitHub](https://github.com/fractureiser-investigation/fractureiser) in alto in modo che le persone possano leggere gli ultimi aggiornamento ed entrare in contatto. + +L'**unico** canale pubblico ufficiale in cui puoi entrare senza essere invitato personalmente e che *è gestito dallo stesso team che ha scritto questi documenti* è [#cfmalware su EsperNet IRC](https://webchat.esper.net/?channels=cfmalware). **Entrare in un canale IRC esporrà il tuo indirizzo IP.** + +--- + +\- il [Team di Mitigazione di fractureiser](docs/credits.md) From 05740c57ac7782a66bc5e113e34608753b335340 Mon Sep 17 00:00:00 2001 From: RickySHD Date: Sun, 11 Jun 2023 01:57:10 +0200 Subject: [PATCH 2/8] Updated README.md to ae759e509f1f06d040705034e370146b51f7881d --- lang/it_it/README.md | 14 +++++++------- 1 file changed, 7 insertions(+), 7 deletions(-) diff --git a/lang/it_it/README.md b/lang/it_it/README.md index d083df56..9dcda5cc 100644 --- a/lang/it_it/README.md +++ b/lang/it_it/README.md @@ -1,17 +1,17 @@

- Logo
- Traduce/Translates c15def8 - — 10/06/2023 2:37 AM GMT+2 + fractureiser logo
+ Traduce/Translates ae759e5 + — 10/06/2023 11:26 PM GMT+2

*Documentazione in fase di aggiornamento* ## Di che si tratta? -`fractureiser` è un [virus](https://en.wikipedia.org/wiki/Computer_virus) trovato in molti progetti di Minecraft caricati su CurseForge e sul sito sviluppatori di CraftBukkit. Il malware è integrato in molteplici mod, alcune delle quali sono state aggiunte a modpack molto popolari. Attualmente il malware sembra prendere di mira solo i sistemi Windows e Linux. +`fractureiser` è un [virus](https://en.wikipedia.org/wiki/Computer_virus) trovato in molti progetti di Minecraft caricati su CurseForge e sul sito BukkitDev. Il malware è integrato in molteplici mod, alcune delle quali sono state aggiunte a modpack molto popolari. Attualmente sembra prendere di mira solo i sistemi Windows e Linux. Se lasciato libero di agire fractureiser può essere **INCREDIBILMENTE PERICOLOSO** per il tuo dispositivo. È altamente consigliato leggere questo documento per capire come tenersi al sicuro. -Abbiamo nominato questo malware `fractureiser` perché è il nome dell'account CurseForge che ha caricato i suddetti file infetti inizialmente. +Abbiamo nominato questo malware fractureiser perché è il nome dell'account CurseForge che ha caricato i suddetti file infetti inizialmente. ## Cosa HAI BISOGNO di sapere @@ -30,7 +30,7 @@ Non sei infetto. ## Stato attuale dell'investigazione Abbiamo una buona comprensione di come fractureiser opera dallo Stage 0 al 3. Ci sono alcune lacune, ma i server usati per l'attacco sono offline e, per quanto ne sappiamo, *nuove* infezioni non sono possibili. Tuttavia quelle precedenti potrebbero ancora essere attive. -Attualmente stiamo refinendo la documentazione rivolta agli utenti, fai riferimento a quella per altre risorse. +La documentazione rivolta agli utenti è più o meno completa. Stiamo lavorando con alcuni membri della comunità per renderla disponibile in altre lingue ed aumentare la consapevolezza. ## Meeting seguente L'08/06/2023 il Team di Mitigazione di fractureiser ha tenuto un meeting con membri noti della comunità per discutere in merito a misure di prevenzione e soluzioni per futuri problemi di entità simile. @@ -38,7 +38,7 @@ Leggi [questa pagina](docs/2023-06-08-meeting.md) per l'agenda dell'evento. ## Informazioni aggiuntive -Se sei in possesso di file relativi a questo malware puoi caricarli su https://wormhole.app e scrivere una mail con l'URL a fractureiser.investigation@opayq.com — questa casella di posta è controllata da unascribed, e qualsiasi messaggio inviato sarà condiviso con il resto del team. Se vuoi contattarci per altri motivi invia una mail a jaskarth4@gmail.com. +Se sei in possesso di file relativi a questo malware puoi caricarli su https://wormhole.app e scrivere una mail con l'URL a fractureiser@unascribed.com — qualsiasi messaggio inviato sarà condiviso con il resto del team. Se vuoi contattarci per altri motivi invia una mail a jaskarth4@gmail.com. Se copi parti di questo documento in altri posti, *per favore* inserisci un link che colleghi a questa [repository GitHub](https://github.com/fractureiser-investigation/fractureiser) in alto in modo che le persone possano leggere gli ultimi aggiornamento ed entrare in contatto. From 9c5fe097f3c8a1ddc863ad3e8bbd38c1b20a00db Mon Sep 17 00:00:00 2001 From: RickySHD Date: Sun, 11 Jun 2023 02:13:59 +0200 Subject: [PATCH 3/8] Changed datetime format. --- lang/it_it/README.md | 2 +- 1 file changed, 1 insertion(+), 1 deletion(-) diff --git a/lang/it_it/README.md b/lang/it_it/README.md index 9dcda5cc..9a8eb159 100644 --- a/lang/it_it/README.md +++ b/lang/it_it/README.md @@ -1,7 +1,7 @@

fractureiser logo
Traduce/Translates ae759e5 - — 10/06/2023 11:26 PM GMT+2 + — 2023-06-10 21:26 UTC

*Documentazione in fase di aggiornamento* From bde7be6162d7519ff0e8e7e90a9ae682dc97157d Mon Sep 17 00:00:00 2001 From: RickySHD Date: Sun, 11 Jun 2023 02:17:46 +0200 Subject: [PATCH 4/8] Renamed folder to ISO lang code. --- lang/{it_it => it-IT}/README.md | 0 1 file changed, 0 insertions(+), 0 deletions(-) rename lang/{it_it => it-IT}/README.md (100%) diff --git a/lang/it_it/README.md b/lang/it-IT/README.md similarity index 100% rename from lang/it_it/README.md rename to lang/it-IT/README.md From c7255f1eeb9eeae3afa43f00c2d186d398c169b5 Mon Sep 17 00:00:00 2001 From: RickySHD Date: Mon, 12 Jun 2023 01:36:11 +0200 Subject: [PATCH 5/8] Updated README.md to 1f61c29bdc3036bf1973fd8f109fb1652961eb2b --- lang/it-IT/README.md | 6 ++++-- 1 file changed, 4 insertions(+), 2 deletions(-) diff --git a/lang/it-IT/README.md b/lang/it-IT/README.md index 9a8eb159..e208e953 100644 --- a/lang/it-IT/README.md +++ b/lang/it-IT/README.md @@ -1,7 +1,7 @@

fractureiser logo
- Traduce/Translates ae759e5 - — 2023-06-10 21:26 UTC + Traduce/Translates 1f61c29 + — 2023-06-11 3:05 UTC

*Documentazione in fase di aggiornamento* @@ -44,6 +44,8 @@ Se copi parti di questo documento in altri posti, *per favore* inserisci un link L'**unico** canale pubblico ufficiale in cui puoi entrare senza essere invitato personalmente e che *è gestito dallo stesso team che ha scritto questi documenti* è [#cfmalware su EsperNet IRC](https://webchat.esper.net/?channels=cfmalware). **Entrare in un canale IRC esporrà il tuo indirizzo IP.** +**Non chiedere campioni.** Potresti anche avere esperienza e riconoscimenti in questo ambito, ma non abbiamo alcun modo di verificarlo senza usare gran parte del nostro tempo già limitato. Condividere campioni di malware è pericoloso, anche tra persone che sanno cosa stanno facendo. + --- \- il [Team di Mitigazione di fractureiser](docs/credits.md) From 0ae7a2d2475f68847fc421d442bc551973cc5dab Mon Sep 17 00:00:00 2001 From: Pingoda Date: Mon, 12 Jun 2023 09:58:40 +0200 Subject: [PATCH 6/8] Initial copy of timeline.md --- lang/it-IT/timeline.md | 209 +++++++++++++++++++++++++++++++++++++++++ 1 file changed, 209 insertions(+) create mode 100644 lang/it-IT/timeline.md diff --git a/lang/it-IT/timeline.md b/lang/it-IT/timeline.md new file mode 100644 index 00000000..9cc636bf --- /dev/null +++ b/lang/it-IT/timeline.md @@ -0,0 +1,209 @@ +### Timeline + +The timeline is from bottom-to-top. Topmost events are the most recent. + +--- +*2023-06-09 07:48 UTC* + +Creators of Stage3b (skyrage) have apparently lost their domain skyrage.de (nameserver and registrar entries changed, dns entries vanished) + +--- +*2023-06-08 10:50 UTC* + +The current C&C servers of stage3b (skyrage) `95[.].214.27.172` and `171[.]22.30.117` are no longer reachable. Watching out for potential DNS changes. + +Time is when it was noticed, not when it happened. + +--- +*2023-06-08 05:11 UTC* + +Prospector announces the following: + +> An update from Modrinth, all files uploaded in the last 10 months +> (about half of our files) have been scanned and not one infected +> file has been found. + +--- +*2023-06-08 01:12 UTC* + +Things have mostly settled down again, virus scanners have begun detecting the stage 1+ +jars as malicious, and a meeting for next steps is planned for the next morning in the US. + +The meeting will be semi-private, but recordings/minutes will be shared afterwards. + +CurseForge is scanning all mods, but that process is still ongoing. + +--- +*2023-06-07 18:51 UTC* + +The second C&C server 107[.]189.3.101 has been suspended by its hosting provider + +--- +*2023-06-07 16:00 UTC* + +Due to lag in the HackMD, this document was transferred to the GitHub repository +https://github.com/fractureiser-investigation/fractureiser + +--- +*2023-06-07 14:40 UTC* + +The unobfuscated stage 3 was replaced by an obfuscated one, then further by another +payload. + +That payload is the skyrage updater, which is a known Minecraft malware targeting spigot +servers. + +After serving skyrage for a while, it switched again to serving the Meteor hacked client. + +(TODO this timeframe is not completely accurate) + +--- +*2023-06-07 14:20 UTC* + +Analysis of the new IP address yields a fully deobfuscated stage 3, seemingly uploaded by accident. +It has been archived here: https://github.com/clrxbl/NekoClient + +--- +*2023-06-07 14:19 UTC* + +The Cloudflare pages domain has been taken down. + +--- +*2023-06-07 14:05 UTC* + +The Cloudflare pages domain has switched to pointing to a new IP address, 107.189.3.101. + +--- + + +*2023-06-07 08:52 UTC* + +The dust has mostly settled for now. We have a good idea of the early stages of the malware, and stage 3 is being reverse-engineered. The first stage is temporarily dormant. + +We will resume updates next morning US time (or thereabouts). + +---- +*2023-06-07 08:09 UTC* + +We are still working on reversing stage 3, see the section below for technical details. + +---- +*2023-06-07 07:37 UTC* + +CurseForge published the following statement in their discord's #news channel: + +> Hey everyone, +> +> We would like to address the current situation that is ongoing and highlight some important points: +> +> * A malicious user has created several accounts and uploaded projects containing malware to the platform +> * Separately a user belonging to Luna Pixel Studios (LPS) was hacked and was used to upload similar malware +> * We have banned all accounts relevant to this and disabled the LPS one as well. We are in direct contact with the LPS team to help them restore their access +> * We are in the process of going through ALL new projects and files to guarantee your safety. We are of course holding the approval process of all new files until this is resolved +> * Deleting your CF client isn’t a recommended solution as it will not solve the issue and will prevent us from deploying a fix. We are working on a tool to help you make sure you weren’t exposed to any of this. In the meantime refer to information published in #current-issues. +> * This is relevant ONLY to Minecraft users +> * To be clear **CurseForge is not compromised! No admin account was hacked.** +> +> We are working on this to make sure the platform remains a safe place to download and share mods. Thank you to all authors and users who help us with highlighting, we appreciate your cooperation and patience ❤️ +> +> Stay tuned for more updates and we will clear this issue. + +---- +*2023-06-07 07:24 UTC* + +Darkhax has contacted Curseforge representatives who have confirmed that the affected files were uploaded via the UI, not the API. + +Curseforge has halted upload approvals while this situation unfolds and have taken down many infected files. + +They are also investigating the IPs of the uploaders of the malicious files, to see if they match previous requests by the rightful account holders. + +---- +*2023-06-07 7:03 UTC* + +We believe we've discovered the true function of Stage3 (`client.jar`) and are attempting to document it here. It's not good, folks. + +The quick version, while we get this document in shape: client.jar searches *the entire filesystem* for files that look like mod jars, and infects them with Stage0. This includes *entire Gradle and Maven caches*, as well as tons of things mod devs would likely never think to check. The potential scale and scope of this infection has gone from "a couple weird mods" to *potentially infinite*. + +We believe this is how the infection initially spread, and Curseforge may not have been the initial attack vector. + +---- + +*2023-06-07 6:27 UTC* + +Investigation has slowed down and most of the team is going to bed. unascribed has opened an email inbox for people to submit samples or other useful information. williewillus is currently working to clean up and get the information presented by D3SL into this doc. + +---- + +*2023-06-07 6:20 UTC* + +D3SL informs the unofficial Discord that they have a copy of the full (untruncated) Stage 3 `client.jar`, as well as an in-depth analysis of what the malware is doing. They first noticed this weeks ago and undertook in-depth analysis, and as a result was able to obtain full copies of all the payloads. + +---- + +*2023-06-07 5:27 UTC* + +We've discovered a potential (truncated) Stage 3 file; it is heavily obfuscated and contains a native payload DLL that attempts to steal credentials from the Windows credentials store. + +---- + +*2023-06-07 4:57 UTC* + +Files uploaded in April have been discovered; either the dates are being spoofed, or this has been going on even longer. Many of the accounts have Last Active times in 1999 — likely a quirk with old CurseForge accounts, but still notable. + +Modrinth staff are investigating if any uploads on there are compromised. A quick pass they did through recently updated projects looked OK. + +---- + +*2023-06-07 4:40 UTC* + +The scope of this compromise seems larger than initially realized. The malicious files go back multiple weeks, as early as May 20th. We only noticed today because they compromised a popular modpack. + +--- + +*2023-06-07 3:38 UTC* + + +The C&C server has been taken down by the server provider. A new one will likely come up if the Cloudflare page stays up, we're monitoring it. + +---- + +*2023-06-07 3:26 UTC* + +We were sent a possible Stage 2 jar by an anonymous user that claims to work at a server host. + +---- + +*2023-06-07 2:26 UTC* + +The #cfmalware EsperNet channel is created to coordinate discussion that had been happening in multiple Discord guilds and Matrix spaces. + +---- + +*2023-06-07 0:40 UTC* + +The team behind this document learns of the malicious files included in an unauthorized update to Better Minecraft. + +---- + +*2023-06-01 to 2023-06-04* + +D3SL becomes suspicious of the malicious files' consumption of CPU and RAM and begins +investigating. Order of operations: + +1. Suspicion about the Java executable's firewall request leads to it being blocked. +2. Inability to reach self-hosted services leads to event viewer showing all tcpip ports + blocked +3. Netstat shows massive port consumption via the hostile jar file's PID +4. Identifying the malicious javaw.exe running libwebgl64.jar confirmed malware + +From here Tzalumen was instrumental in assisting with the initial reverse engineering of +the byte[] obfuscated code and manually capturing a complete set of files from the remote +destinations. + +Full copies of all original files (incl. deobfuscations) except lib.dll, translations of +all remote destinations contacted, and a writeup of the infection process and several +hostile capabilities were provided through channels to Windows Defender and +Malwarebytes. Curseforge was notified as well. Knowledge of the malware wasn't shared +publicly at this time in order to avoid tipping off the attackers + +---- From 0fc10411e0521eadfd52e0d788f28d1431370dc4 Mon Sep 17 00:00:00 2001 From: Pingoda Date: Mon, 12 Jun 2023 11:07:50 +0200 Subject: [PATCH 7/8] Translated all the timeline.md file to Italian --- lang/it-IT/timeline.md | 140 ++++++++++++++++++++--------------------- 1 file changed, 68 insertions(+), 72 deletions(-) diff --git a/lang/it-IT/timeline.md b/lang/it-IT/timeline.md index 9cc636bf..d83596b4 100644 --- a/lang/it-IT/timeline.md +++ b/lang/it-IT/timeline.md @@ -1,209 +1,205 @@ ### Timeline -The timeline is from bottom-to-top. Topmost events are the most recent. +Questa timeline è dal basso verso l'alto. Gli eventi più recenti sono quelli più in alto. --- *2023-06-09 07:48 UTC* -Creators of Stage3b (skyrage) have apparently lost their domain skyrage.de (nameserver and registrar entries changed, dns entries vanished) +I creatori di stage3b (skyrage) hanno perso il loro dominio skyrage.de (le entrate nameserver e registrar sono state cambiate, le entrate dns sono scomparse) --- *2023-06-08 10:50 UTC* -The current C&C servers of stage3b (skyrage) `95[.].214.27.172` and `171[.]22.30.117` are no longer reachable. Watching out for potential DNS changes. +I correnti Server di Comando & Controllo di stage3b (skyrage) `95[.].214.27.172` e `171[.]22.30.117` non sono più raggiungibili. Stanno controllando per potenziali cambi di DNS. -Time is when it was noticed, not when it happened. +Questo è quando è stato notato, non quando è accaduto. --- *2023-06-08 05:11 UTC* -Prospector announces the following: +Prospector annuncia il seguente: -> An update from Modrinth, all files uploaded in the last 10 months -> (about half of our files) have been scanned and not one infected -> file has been found. +> Un aggiornamento da Modrinth, tutti i file caricati negli ultimi 10 mesi +> (quasi la metà dei nostri file) sono stati tutti scansionati e nessun file infetto +> è stato trovato. --- *2023-06-08 01:12 UTC* -Things have mostly settled down again, virus scanners have begun detecting the stage 1+ -jars as malicious, and a meeting for next steps is planned for the next morning in the US. +Le cose si sono calmate per la maggior parte, gli scanner del virus hanno iniziato +a rilevare i jar nella fase 1+ come maliziosi, un meeting per i prossimi passi è pianificato +per il mattino successivo negli US. -The meeting will be semi-private, but recordings/minutes will be shared afterwards. +Il meeting sarà semi-privato, ma le registrazioni / minutaggi saranno condivisi successivamente. -CurseForge is scanning all mods, but that process is still ongoing. +CurseForge sta scansionando tutte le mods, ma il processo è ancora in corso. --- *2023-06-07 18:51 UTC* -The second C&C server 107[.]189.3.101 has been suspended by its hosting provider +Il secondo server di Comando & Controllo 107[.]189.3.101 è stato sospeso dal suo fornitore di hosting --- *2023-06-07 16:00 UTC* -Due to lag in the HackMD, this document was transferred to the GitHub repository +A causa dei problemi nell'HackMD, questo documento è stato trasferito alla repository di GitHub https://github.com/fractureiser-investigation/fractureiser --- *2023-06-07 14:40 UTC* -The unobfuscated stage 3 was replaced by an obfuscated one, then further by another -payload. +La fase 3 non offuscato è stato rimpiazzato da uno offuscato, poi dopo da un altro payload. -That payload is the skyrage updater, which is a known Minecraft malware targeting spigot -servers. +Quel payload è lo skyrage updater, che è un malware di Minecraft conosciuto che bersaglia i server spigot. -After serving skyrage for a while, it switched again to serving the Meteor hacked client. +Dopo aver servito skyrage per un po', è passato di nuovo al servizio del client hackerato Meteor -(TODO this timeframe is not completely accurate) +(TODO questo timeframe non è completamente accurato) --- *2023-06-07 14:20 UTC* -Analysis of the new IP address yields a fully deobfuscated stage 3, seemingly uploaded by accident. -It has been archived here: https://github.com/clrxbl/NekoClient +L'analisi del nuovo indirizzo IP produce una fase 3 completamente deoffuscata, apparentemente caricata per sbaglio. +E' stata archiviata qui: https://github.com/clrxbl/NekoClient --- *2023-06-07 14:19 UTC* -The Cloudflare pages domain has been taken down. +Il dominio delle pagine di Cloudflare è stato rimosso. --- *2023-06-07 14:05 UTC* -The Cloudflare pages domain has switched to pointing to a new IP address, 107.189.3.101. +Il dominio delle pagine di CloudFlare è passato a puntare un nuovo indirizzo IP, 107.189.3.101. --- - - *2023-06-07 08:52 UTC* -The dust has mostly settled for now. We have a good idea of the early stages of the malware, and stage 3 is being reverse-engineered. The first stage is temporarily dormant. +Il polverone si è per lo più depositato per ora. Abbiamo una buona idea degli stadi inizali del malware, nel mentre stanno risalendo al codice sorgente della fase 3. La prima fase è temporaneamente dormiente. -We will resume updates next morning US time (or thereabouts). +Continueremo gli aggiornamenti la prossima mattinata orario US (circa). ---- *2023-06-07 08:09 UTC* -We are still working on reversing stage 3, see the section below for technical details. +Stiamo ancora lavorando a risalire al codice sorgente della fase 3, guardate la sezione qui sotto per i dettagli tecnici. ---- *2023-06-07 07:37 UTC* -CurseForge published the following statement in their discord's #news channel: - -> Hey everyone, -> -> We would like to address the current situation that is ongoing and highlight some important points: -> -> * A malicious user has created several accounts and uploaded projects containing malware to the platform -> * Separately a user belonging to Luna Pixel Studios (LPS) was hacked and was used to upload similar malware -> * We have banned all accounts relevant to this and disabled the LPS one as well. We are in direct contact with the LPS team to help them restore their access -> * We are in the process of going through ALL new projects and files to guarantee your safety. We are of course holding the approval process of all new files until this is resolved -> * Deleting your CF client isn’t a recommended solution as it will not solve the issue and will prevent us from deploying a fix. We are working on a tool to help you make sure you weren’t exposed to any of this. In the meantime refer to information published in #current-issues. -> * This is relevant ONLY to Minecraft users -> * To be clear **CurseForge is not compromised! No admin account was hacked.** +CurseForge ha pubblicato la seguente dichiarazione nel loro canale #news nel loro discord: + +> Ciao a tutti, > -> We are working on this to make sure the platform remains a safe place to download and share mods. Thank you to all authors and users who help us with highlighting, we appreciate your cooperation and patience ❤️ +> Vorremmo affrontare la situazione attuale che è in corso ed evidenziare alcuni punti importanti: > -> Stay tuned for more updates and we will clear this issue. +> * Un utente malintenzionato ha creato diversi account e caricato progetti contenenti malware sulla piattaforma +> * Separatamente, un utente appartenente a Luna Pixel Studios (LPS) è stato violato ed è stato utilizzato per caricare malware simili +> * Abbiamo bannato tutti gli account rilevanti e disabilitato anche quello LPS. Siamo in contatto diretto con il team LPS per aiutarli a ripristinare l'accesso +> * Stiamo esaminando TUTTI i nuovi progetti e file per garantire la vostra sicurezza. Ovviamente stiamo trattenendo il processo di approvazione di tutti i nuovi file fino a quando il problema non sarà risolto +> * L'eliminazione del client di CurseForge non è una soluzione consigliata in quanto non risolverà il problema e ci impedirà di implementare una correzione. Stiamo lavorando a uno strumento per aiutarvi ad assicurarvi di non essere esposti a nulla di tutto ciò. Nel frattempo fate riferimento alle informazioni pubblicate su #current-issues. +> * Questo è rilevante SOLO per gli utenti di Minecraft +> * Per essere chiari **CurseForge non è stato compromesso! Nessun admin account è stato hackerato.** +> +> Stiamo lavorando per assicurarci che la piattaforma rimanga un luogo sicuro per scaricare e condividere mod. Grazie a tutti gli autori e utenti che ci aiutano con l'evidenziazione, apprezziamo la vostra collaborazione e pazienza ❤️ +> +> Resta sintonizzato per ulteriori aggiornamenti e risolveremo questo problema. ---- *2023-06-07 07:24 UTC* -Darkhax has contacted Curseforge representatives who have confirmed that the affected files were uploaded via the UI, not the API. +Darkhax ha contattato i rappresentanti di CurseForge i quali hanno confermato che i file infetti erano stati caricato tramite la UI, non l'API. -Curseforge has halted upload approvals while this situation unfolds and have taken down many infected files. +CurseForge ha fermato le approvazioni di altri caricamenti mentre questa situazione si sviluppa e hanno eliminato molti file infetti. -They are also investigating the IPs of the uploaders of the malicious files, to see if they match previous requests by the rightful account holders. +Stanno anche investigando gli IP delle persone che hanno caricato i file maliziosi, per vedere se corrispondono alle precedenti richieste dei legittimi titolari degli account. ---- *2023-06-07 7:03 UTC* -We believe we've discovered the true function of Stage3 (`client.jar`) and are attempting to document it here. It's not good, folks. +Crediamo di aver scoperto la vera funzione della fase 3 (`client.jar`) e stiamo cercando di documentarla qui. Non è bello, gente. -The quick version, while we get this document in shape: client.jar searches *the entire filesystem* for files that look like mod jars, and infects them with Stage0. This includes *entire Gradle and Maven caches*, as well as tons of things mod devs would likely never think to check. The potential scale and scope of this infection has gone from "a couple weird mods" to *potentially infinite*. +La versione veloce, mentre cerchiamo di dare una forma al documento: client.jar cerca *tutti i file di sistema* per file che assomigliano a jar di mod, e li infetta con la fase 0. Questo comprende *tutte le cache di Gradle e Maven*, così come un sacco di cose che gli sviluppatori di mod non controllerebbero mai. La portata e le possibilità di questa infezione sono passate da "un paio di modifiche strane" a *potenzialmente infinite*. -We believe this is how the infection initially spread, and Curseforge may not have been the initial attack vector. +Crediamo che questo sia il come questa infezione si sia inizialmente diffuse, CurseForge potrebbe non essere stato il vettore di attacco iniziale. ---- *2023-06-07 6:27 UTC* -Investigation has slowed down and most of the team is going to bed. unascribed has opened an email inbox for people to submit samples or other useful information. williewillus is currently working to clean up and get the information presented by D3SL into this doc. +L'investigazione ha rallentato e molti del team stanno andando a letto. unascribed ha aperto una casella di posta elettronica così che le persone possano inviare campioni o altre informazioni utili. williewillus sta al momento lavorando nel pulire e inserire le informazioni presentate da D3SL in questo documento. ---- *2023-06-07 6:20 UTC* -D3SL informs the unofficial Discord that they have a copy of the full (untruncated) Stage 3 `client.jar`, as well as an in-depth analysis of what the malware is doing. They first noticed this weeks ago and undertook in-depth analysis, and as a result was able to obtain full copies of all the payloads. +D3SL informa il Discord non ufficiale che ha una copia della fase 3 completa (non troncata) del `client.jar`, così come un'analisi dettagliata di cosa fa il malware. Si sono accorti di ciò già settimane fa e intrapreso un'analisi dettagliata, e come risultato di essa siamo riusciti ad ottenere copie complete di tutti i payloads. ---- *2023-06-07 5:27 UTC* -We've discovered a potential (truncated) Stage 3 file; it is heavily obfuscated and contains a native payload DLL that attempts to steal credentials from the Windows credentials store. +Abbiamo scoperto un potenziale (troncato) file della fase 3; è fortemente offuscato e contiene una DLL di payload nativa che tenta di rubare le credenziali dall'archivio delle credenziali di Windows. ---- *2023-06-07 4:57 UTC* -Files uploaded in April have been discovered; either the dates are being spoofed, or this has been going on even longer. Many of the accounts have Last Active times in 1999 — likely a quirk with old CurseForge accounts, but still notable. +I file caricati in Aprile sono stati scoperti; o le date sono state falsificate, o questo è andato avanti ancora più a lungo. Molti account sono stati attivi l'ultima volta nel 1999 - probabilmente una stranezza con i vecchi account CurseForge, ma comunque degna di nota. -Modrinth staff are investigating if any uploads on there are compromised. A quick pass they did through recently updated projects looked OK. +Lo staff di Modrinth sta investigando se qualche caricamento sulla piattaforma è compromesso. Un passaggio veloce che hanno fatto recentemente su progetti aggiornati di recente sembrano OK. ---- *2023-06-07 4:40 UTC* -The scope of this compromise seems larger than initially realized. The malicious files go back multiple weeks, as early as May 20th. We only noticed today because they compromised a popular modpack. +La portata di questo compromesso sembra più ampia di quanto inizialmente realizzato. I file maliziosi vanno indietro di molteplici settimane, già dal 20 Maggio. Ce ne siamo accorti solo oggi perché hanno compromesso un modpack popolare. --- *2023-06-07 3:38 UTC* -The C&C server has been taken down by the server provider. A new one will likely come up if the Cloudflare page stays up, we're monitoring it. +Il server di Comando & Controllo è stato disattivato dal provider del server. Probabilmente ne uscirà uno nuovo se la pagina di Cloudflare rimane attiva, la stiamo monitorando. ---- *2023-06-07 3:26 UTC* -We were sent a possible Stage 2 jar by an anonymous user that claims to work at a server host. +Ci è stato inviato un possibile jar della fase 2 da un utente anonimo che afferma di lavorare su un host del server. ---- *2023-06-07 2:26 UTC* -The #cfmalware EsperNet channel is created to coordinate discussion that had been happening in multiple Discord guilds and Matrix spaces. +Il canale #cfmalware EsperNet è stato creato per coordinare le discussioni che si erano svolte in più gilde Discord e spazi Matrix. ---- *2023-06-07 0:40 UTC* -The team behind this document learns of the malicious files included in an unauthorized update to Better Minecraft. +Il team dietro questo documento viene a conoscenza dei file maliziosi inclusi in un aggiornamento non autorizzato di Better Minecraft. ---- *2023-06-01 to 2023-06-04* -D3SL becomes suspicious of the malicious files' consumption of CPU and RAM and begins -investigating. Order of operations: +D3SL si insospettisce del consumo di CPU e RAM da parte dei file dannosi e inizia +indagare. Ordine delle operazioni: + +1. Il sospetto sulla richiesta del firewall dell'eseguibile Java porta al suo blocco. +2. L'impossibilità di raggiungere i servizi self-hosted porta al visualizzatore eventi che mostra tutte le porte tcpip bloccate +3. Netstat mostra un massiccio consumo di porte tramite il PID del file jar ostile +4. L'identificazione del malware javaw.exe dannoso che esegue il malware confermato libwebgl64.jar -1. Suspicion about the Java executable's firewall request leads to it being blocked. -2. Inability to reach self-hosted services leads to event viewer showing all tcpip ports - blocked -3. Netstat shows massive port consumption via the hostile jar file's PID -4. Identifying the malicious javaw.exe running libwebgl64.jar confirmed malware +Da qui in avanti Tzalument è stato determinante nell'assistere con l'iniziale risorgimento al codice sorgente del codice byte[] offuscato e ha catturato manualmente un set completo di file dalle destinazioni remote. -From here Tzalumen was instrumental in assisting with the initial reverse engineering of -the byte[] obfuscated code and manually capturing a complete set of files from the remote -destinations. +Copie complete di tutti i file originali (incluse le deoffuscazioni) eccetto lib.dll, traduzoini di tutte le destinazioni remote contattate, e un resoconto del processo di infezione e delle diverse capacità ostili sono state fornite attraverso i canali a Windows Defender e Malwarebytes. Anche CurseForge è stato avvisato. Full copies of all original files (incl. deobfuscations) except lib.dll, translations of all remote destinations contacted, and a writeup of the infection process and several hostile capabilities were provided through channels to Windows Defender and -Malwarebytes. Curseforge was notified as well. Knowledge of the malware wasn't shared -publicly at this time in order to avoid tipping off the attackers +Malwarebytes. Curseforge was notified as well. La conoscenza del malware non è stata condivisa +pubblicamente in questo momento per evitare di avvertire gli aggressori ---- From bcb214b2b69d0d6f3b7310546bb7bc79f6ac21cd Mon Sep 17 00:00:00 2001 From: Pingoda Date: Mon, 12 Jun 2023 11:13:58 +0200 Subject: [PATCH 8/8] Fixed the file directories --- lang/it-IT/{ => docs}/timeline.md | 0 1 file changed, 0 insertions(+), 0 deletions(-) rename lang/it-IT/{ => docs}/timeline.md (100%) diff --git a/lang/it-IT/timeline.md b/lang/it-IT/docs/timeline.md similarity index 100% rename from lang/it-IT/timeline.md rename to lang/it-IT/docs/timeline.md