美國聯邦調查局(FBI)西雅圖分局於 3 月 11 日正式公告,正針對多款 Steam 遊戲內嵌惡意軟體一事展開刑事調查,並向曾安裝相關遊戲的潛在受害者發出情報協助呼籲。
FBI 指出,威脅行為者主要在 2024 年 5 月至 2026 年 1 月期間於 Steam 上針對用戶展開攻擊。目前已確認含有惡意軟體的遊戲共七款,包括了《BlockBlasters》、《Chemia》、《Dashverse / Dash FPS》、《Lampy》、《Lunara》、《PirateFi》、《Tokenova》。
這類惡意軟體的手法是以免費遊戲形式上架一段時間後,透過更新植入惡意程式,隱蔽性極高。PirateFi 於 2025 年 2 月免費上架,推送含惡意軟體的更新後遭 Steam 下架;BlockBlasters 則於同年 7 月免費發布,8 月底更新帶入惡意程式,事後亦遭移除,且有大量用戶因此遭竊取加密貨幣。
Steam 過去也曾發生開發者帳號遭駭、攻擊者藉機推送惡意更新的案例。Valve 已於 2023 年針對「default」分支的更新導入 SMS 雙重認證以降低風險。但此次案例顯示,攻擊者採取自行上架免費遊戲、事後植入惡意更新的方式規避。
Steam 玩家該如何自保呢?可在「下載」設定中,將已安裝遊戲的自動更新時機調整為「啟動遊戲時才更新」,避免不知情的情況下套用含有惡意程式的更新檔,並且不要隨意下載免費遊戲與模組,確保作者可信度。並且為了保護帳號安全,應該啟動 STEAM APP 的雙重驗證機制。
:quality(60):no_upscale()/https%3A%2F%2Fimg.4gamers.com.tw%2Fpuku-clone-version%2F033494d2c125ef9dffb3cb8f14d2a867803fe999.jpg)
:quality(60):no_upscale()/https%3A%2F%2Fimg.4gamers.com.tw%2Fpuku-clone-version%2Fe1794b5a84831364bc6336e75c37965f2caf9ae3.jpg)