Новичок
Новичок
- Статус
- Оффлайн
- Регистрация
- 14 Апр 2026
- Сообщения
- 1
- Реакции
- 0
Имя пользователя: NeylovimLegends
Тип нарушения: Обман пользователем
Истец: NeylovimLegends
Ответчик: @nikokik
Контактные данные ответчика:
https://yougame.biz/members/1412769/, t.me/@shitpostkall
Тема или иное место связи, в котором ответчик предоставлял услуги:
https://yougame.biz/resources/231/
Дата нарушения: 14 Апр 2026
Сумма претензии: 1 руб.
Реквизиты:
Описание претензии:
Здравствуйте.
Прошу срочно удалить данный ресурс с платформы, так как в распространяемой сборке сервера ReallyWorld обнаружен встроенный бэкдор, представляющий серьёзную угрозу для всех, кто скачает и запустит эту сборку.
Что обнаружено
В результате статического анализа всех 88 плагинов из архива ReallyWorld.zip (Google Drive ID: 1SVdsRigXEhUPqqnIuLynykQ4hDd_SrI4) был обнаружен идентичный вредоносный код, внедрённый в каждый .jar файл — включая широко известные публичные плагины: EssentialsX, LuckPerms, ViaVersion, WorldGuard, ProtocolLib, Vault, SkinsRestorer, PlaceholderAPI и другие.
Технические детали
Вредоносный код замаскирован под несуществующий класс библиотеки Apache Commons Lang3:
<span>org.apache.commons.lang3.MutableUtilities<br></span>
Такого класса не существует в оригинальной библиотеке Apache Commons Lang3. Это фиктивное имя, намеренно выбранное для маскировки под легитимную зависимость.
В каждом заражённом .jar содержится 328–363 вредоносных класса, в том числе:
Что делает этот бэкдор
Анализ байткода вредоносных классов выявил следующий функционал:
Подпись взломщика
В каждом плагине также присутствует скрытый класс с рандомным именем (например, goxacdytiiluaxqq/kmfdonpkiqvngpyj.class), содержащий открытую подпись:
cracked_by_shitpostkall | t.me/@shitpostkall
Это указывает на то, что сборку модифицировал пользователь с Telegram-аккаунтом @shitpostkall, внедривший бэкдор при взломе защиты плагинов.
Последствия для пользователей
Любой администратор, запустивший эту сборку, предоставляет злоумышленнику:
Просьба незамедлительно удалить данный ресурс и предупредить пользователей, которые уже могли его скачать.
С уважением.
Скриншоты переписки:
Тип нарушения: Обман пользователем
Истец: NeylovimLegends
Ответчик: @nikokik
Контактные данные ответчика:
https://yougame.biz/members/1412769/, t.me/@shitpostkall
Тема или иное место связи, в котором ответчик предоставлял услуги:
https://yougame.biz/resources/231/
Дата нарушения: 14 Апр 2026
Сумма претензии: 1 руб.
Реквизиты:
Пожалуйста, зарегистрируйтесь или авторизуйтесь, чтобы увидеть содержимое.
Описание претензии:
Здравствуйте.
Прошу срочно удалить данный ресурс с платформы, так как в распространяемой сборке сервера ReallyWorld обнаружен встроенный бэкдор, представляющий серьёзную угрозу для всех, кто скачает и запустит эту сборку.
Что обнаружено
В результате статического анализа всех 88 плагинов из архива ReallyWorld.zip (Google Drive ID: 1SVdsRigXEhUPqqnIuLynykQ4hDd_SrI4) был обнаружен идентичный вредоносный код, внедрённый в каждый .jar файл — включая широко известные публичные плагины: EssentialsX, LuckPerms, ViaVersion, WorldGuard, ProtocolLib, Vault, SkinsRestorer, PlaceholderAPI и другие.
Технические детали
Вредоносный код замаскирован под несуществующий класс библиотеки Apache Commons Lang3:
<span>org.apache.commons.lang3.MutableUtilities<br></span>
Такого класса не существует в оригинальной библиотеке Apache Commons Lang3. Это фиктивное имя, намеренно выбранное для маскировки под легитимную зависимость.
В каждом заражённом .jar содержится 328–363 вредоносных класса, в том числе:
- MutableUtilities.class + MutableUtilities$1 ... $31 — основное тело бэкдора
- MutableUtilities$PlayerState.class, MutableUtilities$State.class
- AccessMake.class, ArrayFiller.class
- Классы пакетного обработчика Minecraft-протокола: HandshakeProtocol, LoginPayloadResponseProtocol, EncryptionRequestEvent, EncryptionResponseEvent, ClientChatProtocol, ClientCommandProtocol, ClientStatusPacket, KeepAliveEvent, KickEvent, ScoreboardDisplayProtocol, SetCompressionEvent и другие
Что делает этот бэкдор
Анализ байткода вредоносных классов выявил следующий функционал:
- Удалённое подключение — классы используют java.net.InetSocketAddress и java.net.http.WebSocket для установки постоянного соединения с внешним сервером злоумышленника
- Удалённое выполнение команд — поле command_prefix и метод execute позволяют злоумышленнику выполнять произвольные команды в консоли сервера
- Логирование команд — поле commandLogs собирает все вводимые команды и отправляет их наружу
- Discord webhook — поле discord_message используется для отправки данных через Discord webhook
- Полноценный Minecraft-бот внутри сервера — реализованы все уровни протокола: хендшейк, авторизация, шифрование, игровые пакеты
Подпись взломщика
В каждом плагине также присутствует скрытый класс с рандомным именем (например, goxacdytiiluaxqq/kmfdonpkiqvngpyj.class), содержащий открытую подпись:
cracked_by_shitpostkall | t.me/@shitpostkall
Это указывает на то, что сборку модифицировал пользователь с Telegram-аккаунтом @shitpostkall, внедривший бэкдор при взломе защиты плагинов.
Последствия для пользователей
Любой администратор, запустивший эту сборку, предоставляет злоумышленнику:
- Полный контроль над консолью сервера
- Доступ ко всем данным игроков
- Потенциальный доступ к операционной системе хост-машины или VPS
Просьба незамедлительно удалить данный ресурс и предупредить пользователей, которые уже могли его скачать.
С уважением.
Скриншоты переписки:
-
