北京
最近刷到一個離譜的事,差點沒給我整不會了。
有個叫《Beyond The Dark》的游戲,之前Steam上免費領,結果被人扒出來里面塞了 malware——專門偷你 crypto 錢包那種。現在這游戲已經被下架了,但整個過程細思極恐。
事情是網絡安全 YouTuber Eric Parker 在 5 月 18 號爆出來的。他說自己收到好幾個觀眾留言,讓他查查這游戲。一查不要緊,Unityplayer.dll 這個文件有問題。具體來說,程序會掃描你 Chrome 的擴展插件,Parker 推測是在找 MetaMask 這類 crypto 錢包的信息。
更騷的是,這玩意兒還會連到 C2 服務器下載更多惡意軟件。邏輯大概是:先掃你有沒有 crypto 相關的擴展,確認有了再下黑手。Parker 用 ANY.RUN 的虛擬環境跑了一遍,確實抓到可疑文件在下載。
詭異的是,這游戲居然能正常啟動。但 Parker 想從菜單進游戲的時候直接崩潰了,所以實際能不能玩成,他也沒驗證出來。
然后重點來了——這游戲根本不是"原生"的 malware 游戲,而是借殼上市。
查 SteamDB 的改動記錄會發現,這頁面原來是個叫《Rodent Race》的游戲,今年 5 月 4 到 5 號才改成《Beyond The Dark》。開發商和發行商也從"hyperg8"改成了"Beyond The Dark"。更關鍵的是,原本收費的游戲,改成免費了。
簡單說,就是有人 hijack 了一個 existing 的商店頁面,通過 update 把整個游戲換成了另一個東西。
《Rodent Race》本來是個動物主題的 strategy 游戲。現在頁面截圖和英文描述都改成了恐怖動作風,但日文描述還是老的——"受國際象棋啟發的回合制策略游戲,在島中央收集橡果,順便干掉敵人的棋子"。Steam 成就也沒改,英文版還掛著"擊敗海貍""擊敗水豚"這種跟恐怖游戲八竿子打不著的成就。
SteamDB 顯示,改名之后兩周內文件被改了無數次。一個動物 strategy 游戲,短期密集更新變成恐怖游戲,這操作本來就夠可疑了。
社區里有人猜是原開發者賬號被 hack 了,頁面被人惡意利用。Steam 的審核機制是:新游戲上架要審,但 update 是事后審,可以先發后審。所以你想做個 malware 游戲從零開始,大概率初審就被 ban 了;但找個 existing 頁面,發個"update"整個替換掉,就能繞過這關。
Parker 事后警告說,這種 malware 很多是靠朋友口口相傳擴散的。看到可疑游戲要舉報,朋友突然安利你游戲的時候,最好多問一句"你號是不是被盜了"。
這事雖然被快速處理下架了,但手法已經公開了,難保沒有下一家。如果收到消息讓你領免費游戲,但發現頁面有明顯對不上的地方——比如描述和截圖風格不符、成就和內容無關、或者游戲突然從付費變免費——建議先別裝,順手點個舉報也不虧。
說白了,免費領游戲的時候多留個心眼,尤其是那種"朋友突然留言安利"的場合。Steam 的審核不是萬能的,自己的錢包還得自己守。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
