部分Curseforge账号疑似被盗用上传含恶意程序，请谨慎下载资源

据Iris Shader开发者hedge hog发布的公告，在最近几小时内，他们发现数十个账号上传了一些含有恶意程序的模组/整合包。受影响的游戏版本主要包括1.16.5、1.18.2和1.19.2。许多知名的模组/整合包也受到了影响。根据受影响的Curseforge账号来看，很有可能是有人绕过了Curseforge的两步验证直接登入了他们的账号来上传文件。

如果你已下载了这些受影响的模组或模组包，请立即隔离文件并对电脑全盘杀毒，除此外，近期请谨慎下载来自Curseforge的模组/模组包，包括使用启动器从Curseforge API下载模组功能。

以DungeonsX模组为例，其在启动后会自动从互联网下载一个Java class文件并将其载入游戏之中，执行一个命令来再次下载该恶意程序，并将其保存为可执行文件。该模组已经被添加到所有Luna Pixel Studios发布的整合包中，并被攻击者归档。可以预见，这些模组可能未来会再次出现，并使数千人被攻击。Fabulously Optimized整合包也被此次事件影响，其账号新上传的整合包中包含了一个Forge模组，万幸的是该模组从未被下载过，因此未造成危害。

已知受影响的整合包/模组：

When Dungeons Arise（地牢浮现之时）、Sky Villages（天空村庄）等LunaPixelStudios参与维护的项目。

Better MC modpack系列。

自查方法：删除以下文件（若有）

对于Unix：~/.config/.data/lib.jar

对于Windows：%LOCALAPPDATA%/Microsoft Edge/libWebGL64.jar或~/AppData/Local/Microsoft Edge/libWebGL64.jar

根据反编译结果，该恶意程序会将你的电脑变成僵尸网络的一部分，并在你的电脑上留下后门。

该恶意程序主要针对Linux用户，例如服务器等。值得注意的是，Windows用户也可能受此影响。

受感染的模组文件从网络下载的文件（反编译）：https://pastebin.com/k2ZQKbEz

恶意程序释放的后门程序代码截图：

部分样本文件：https://wwif.lanzouw.com/iLoST0yilvfa 解压密码this isunsafe

这能被发现也够厉害的了