Cities Skylines: Warnung vor schädlichem Code in beliebten Mods - Das sagt Paradox

Update vom 15. Februar 2022: Entwickler Paradox hat nun eine Stellungnahme zu besagtem Problem veröffentlicht.

In einem Beitrag auf Steam teilt das Unternehmen aber zugleich mit, dass die Situation nicht so dramatisch ist wie befürchtet.

"Wir haben kürzlich ein paar Mods aus dem Cities: Skylines Workshop verbannt und möchten einige der Fehlinformationen rund um diese Mods aufklären", schreibt Paradox. "Die fraglichen Mods, die gelöscht wurden, sind 'Network Extensions 3' und 'Update from Github'. Es wurden keine Keylogger, Viren, Bitcoin-Mining-Software oder ähnliches in Mods im Steam Workshop gefunden."

"'Network Extensions 3', die Mod, die angeblich Malware enthält, wurde wegen der Diskriminierung bestimmter Steam-Nutzer verboten. Zunächst wurde eine kurze Liste von Steam-Benutzern für die Verwendung der Mod gesperrt, aber dies wurde später geändert, um ein scheinbar fehlerhaftes Gameplay zu verursachen. Die Sperrung von Nutzern oder die Schaffung spezifischer Einschränkungen für sie verstößt gegen die Steam-Vereinbarungen und führte dazu, dass die Mod gesperrt wurde."

"Die Mod 'Update from Github' wurde kurz nach ihrem Erscheinen im Workshop entfernt. Diese Mod wurde entwickelt, um direkt von Github aus nach Updates für Mods zu suchen und diese zu installieren, wobei Änderungen an bestehenden Workshop-Abonnements ohne das Wissen des Benutzers vorgenommen wurden. Dadurch wird der Workshop komplett umgangen. Um möglichen Missbrauch (z.B. das Herunterladen von Schadsoftware) zu vermeiden, wurde die Mod entfernt."

"'Harmony (Redesigned)' wurde in diesem Zusammenhang erwähnt, allerdings wurde die Mod seit dem 15. März 2021 nicht mehr aktualisiert. Weitere Aktualisierungen dieses Workshop-Items sind nicht möglich, da das Konto gesperrt ist und die Mitwirkenden keine Workshop-Items aktualisieren können."

Ursprüngliche Meldung vom 13. Februar 2022: Wer sich gerne Mods für Cities Skylines herunterlädt, sollte dabei aktuell sehr vorsichtig sein und seinen PC auf Malware überprüfen.

Wie sich herausgestellt hat, ist in mehreren beliebten Mods schädlicher Code enthalten. Dabei handelt es sich aber nicht um die ursprüngliche Version dieser Mods, vielmehr wurden sie von einem Modder namens Chaos neu mit einem versteckten Auto-Updater ausgestattet und veröffentlicht.

Vorsicht walten lassen

"In Mods, die von einem Autor mit den Namen Holy Water und Chaos veröffentlicht wurden, wurde bösartiger Code gefunden", heißt es in einem angepinnten Beitrag im Subreddit zum Spiel.

"Bei diesen Mods handelt es sich um 'Forks' (modifizierte und neu hochgeladene Versionen) beliebter Mods von bekannten Entwicklern (z. B. Harmony, Network Extensions, Traffic Manager: President Edition). Mehrere (aber nicht alle) dieser Mods wurden aus dem Steam Workshop entfernt und das Konto des Autors ist derzeit gesperrt."

"Wir empfehlen euch nachdrücklich, euch von allen von diesem Autor veröffentlichten Downloads abzumelden und keine Mods zu abonnieren, herunterzuladen oder zu installieren, egal aus welcher Quelle, die von dieser Person in Zukunft veröffentlicht werden könnten."

Macht andere Mods unbrauchbar

Die Vorgehensweise sieht so aus, dass eine Mod mit schädlichem Code im Grunde andere Mods beschädigt. User müssten dann neue, ebenfalls infizierte Versionen dieser Mods herunterladen, wodurch sich der Schadcode weiter verbreitet.

"Benutzer installieren Harmony (redesigned) aus einem bestimmten Grund, plötzlich erhalten sie Fehler in beliebten Mods", erklärt ein Moderator des Subreddits. "Die angebotene Lösung ist, seine Versionen zu verwenden. Diese Versionen gewinnen an Zugkraft und Nutzern und die Leute stoßen auf sie anstelle der Originale... und sehen, dass Harmony (redesigned) als Voraussetzung angegeben wird. Die Benutzer installieren Harmony (redesigned) mit dem [automatischen Update-Code], der damit verbunden ist. Und auf einem gibt es Zehntausende von Usern, die effektiv einen Trojaner auf ihrem Computer installiert haben."

Valve hat den User und seine alternativen Accounts gesperrt und infizierte Mods gelöscht, dennoch machen sich einige Sorgen darüber, dass Chaos in der Lage sein könnte, seine Mods mithilfe anderer Accounts zu verändern und zu aktualisieren.

"Chaos kann dann aus der Ferne jeden beliebigen Code für die Nutzer bereitstellen, indem er einfach aktualisierten Code auf seinem GitHub veröffentlicht. Es gibt dort keine Validierung durch Steam, GitHub oder eine dritte Partei. Es ist eine direkte Verbindung von Chaos' Gehirn zu den Computern der Nutzer. Wenn Benutzer das Spiel aus irgendeinem Grund als Administrator ausführen, könnten sie dadurch Keyloggern, Viren, Bitcoin-Mining-Software - buchstäblich allem - ausgesetzt sein."

Wenn ihr also in Cities Skylines aktiv in puncto Mods unterwegs seid, überprüft lieber einmal euren Rechner.