免費(fèi)游戲變病毒陷阱？Steam這次被鉆了空子

最近刷到一個(gè)離譜的事，差點(diǎn)沒(méi)給我整不會(huì)了。

有個(gè)叫《Beyond The Dark》的游戲，之前Steam上免費(fèi)領(lǐng)，結(jié)果被人扒出來(lái)里面塞了 malware——專門偷你 crypto 錢包那種。現(xiàn)在這游戲已經(jīng)被下架了，但整個(gè)過(guò)程細(xì)思極恐。

事情是網(wǎng)絡(luò)安全 YouTuber Eric Parker 在 5 月 18 號(hào)爆出來(lái)的。他說(shuō)自己收到好幾個(gè)觀眾留言，讓他查查這游戲。一查不要緊，Unityplayer.dll 這個(gè)文件有問(wèn)題。具體來(lái)說(shuō)，程序會(huì)掃描你 Chrome 的擴(kuò)展插件，Parker 推測(cè)是在找 MetaMask 這類 crypto 錢包的信息。

更騷的是，這玩意兒還會(huì)連到 C2 服務(wù)器下載更多惡意軟件。邏輯大概是：先掃你有沒(méi)有 crypto 相關(guān)的擴(kuò)展，確認(rèn)有了再下黑手。Parker 用 ANY.RUN 的虛擬環(huán)境跑了一遍，確實(shí)抓到可疑文件在下載。

詭異的是，這游戲居然能正常啟動(dòng)。但 Parker 想從菜單進(jìn)游戲的時(shí)候直接崩潰了，所以實(shí)際能不能玩成，他也沒(méi)驗(yàn)證出來(lái)。

然后重點(diǎn)來(lái)了——這游戲根本不是"原生"的 malware 游戲，而是借殼上市。

查 SteamDB 的改動(dòng)記錄會(huì)發(fā)現(xiàn)，這頁(yè)面原來(lái)是個(gè)叫《Rodent Race》的游戲，今年 5 月 4 到 5 號(hào)才改成《Beyond The Dark》。開(kāi)發(fā)商和發(fā)行商也從"hyperg8"改成了"Beyond The Dark"。更關(guān)鍵的是，原本收費(fèi)的游戲，改成免費(fèi)了。

簡(jiǎn)單說(shuō)，就是有人 hijack 了一個(gè) existing 的商店頁(yè)面，通過(guò) update 把整個(gè)游戲換成了另一個(gè)東西。

《Rodent Race》本來(lái)是個(gè)動(dòng)物主題的 strategy 游戲。現(xiàn)在頁(yè)面截圖和英文描述都改成了恐怖動(dòng)作風(fēng)，但日文描述還是老的——"受國(guó)際象棋啟發(fā)的回合制策略游戲，在島中央收集橡果，順便干掉敵人的棋子"。Steam 成就也沒(méi)改，英文版還掛著"擊敗海貍""擊敗水豚"這種跟恐怖游戲八竿子打不著的成就。

SteamDB 顯示，改名之后兩周內(nèi)文件被改了無(wú)數(shù)次。一個(gè)動(dòng)物 strategy 游戲，短期密集更新變成恐怖游戲，這操作本來(lái)就夠可疑了。

社區(qū)里有人猜是原開(kāi)發(fā)者賬號(hào)被 hack 了，頁(yè)面被人惡意利用。Steam 的審核機(jī)制是：新游戲上架要審，但 update 是事后審，可以先發(fā)后審。所以你想做個(gè) malware 游戲從零開(kāi)始，大概率初審就被 ban 了；但找個(gè) existing 頁(yè)面，發(fā)個(gè)"update"整個(gè)替換掉，就能繞過(guò)這關(guān)。

Parker 事后警告說(shuō)，這種 malware 很多是靠朋友口口相傳擴(kuò)散的。看到可疑游戲要舉報(bào)，朋友突然安利你游戲的時(shí)候，最好多問(wèn)一句"你號(hào)是不是被盜了"。

這事雖然被快速處理下架了，但手法已經(jīng)公開(kāi)了，難保沒(méi)有下一家。如果收到消息讓你領(lǐng)免費(fèi)游戲，但發(fā)現(xiàn)頁(yè)面有明顯對(duì)不上的地方——比如描述和截圖風(fēng)格不符、成就和內(nèi)容無(wú)關(guān)、或者游戲突然從付費(fèi)變免費(fèi)——建議先別裝，順手點(diǎn)個(gè)舉報(bào)也不虧。

說(shuō)白了，免費(fèi)領(lǐng)游戲的時(shí)候多留個(gè)心眼，尤其是那種"朋友突然留言安利"的場(chǎng)合。Steam 的審核不是萬(wàn)能的，自己的錢包還得自己守。