Minecraft - взлом через моды

Сообщество Minecraft Malware Prevention Alliance (MMPA) сообщило, что множество популярных модификаций Minecraft содержит в себе уязвимость BleedingPipe, позволяющую хакерам запускать удалённое выполнение произвольного кода. В основном уязвимость встречается в модах для Minecraft на базе Forge, но в сообществе утверждают, что ошибка может затрагивать любые другие версии игры.

В первый раз об ошибке сообщили в марте 2022 года. Тогда пользователи рассказали про уязвимость, которую обнаружили в репозитории BDLib. После этого разработчики сервера MineYourMind и пакета модов Enigmatica 2 Expert рассказали об этой же ошибке в своих продуктах.

9 июля 2023 года на форуме Forge рассказали про эту же ошибку, отметив, что с её помощью злоумышленники могут скомпрометировать сервер и получить с него учётные данные Discord-аккаунтов и записи сеансов Steam. Тогда, по сообщению представителей Forge, проблема затрагивала моды EnderCore, BDLib и LogisticsPipe. Однако сообщение от администрации Forge не попало в поле зрение пользователей.

Представители сообщества MMPA составили список популярных модов, затронутых уязвимостью:

• EnderCore;
• LogisticsPipes;
• BDLib 1.7-1.12;
• Smart Moving 1.12;
• Brazier;
• DankNull;
• Gadomancy.

Администраторам серверов рекомендуется проверить директорию сервера на содержание подозрительных файлов и отказаться от использования затронутых модов до тех пор, пока их разработчики не исправят уязвимость. Игрокам следует просканировать на машине директорию .minecraft с помощью утилит jSus или jNeedle. Уязвимость представляет собой распространённую ошибку с сереализацией ObjectInputStream в Java.