Steam游戏《BlockBlasters》恶意补丁窃取加密货币安全事件

海外游戏主播“RastalandTV”近日遭遇了一场离奇事件：他用于抗癌治疗的加密货币捐款，在安装Steam游戏《BlockBlasters》后神秘失踪。这并非虚构故事，而是真实发生的安全漏洞。

癌症、捐款、加密货币与Steam平台的结合，迅速引发了海外网友的广泛关注。安全研究人员随后发现，超过260名《BlockBlasters》玩家遭遇类似盗窃，总损失超过15万美元。此事件受害者众多，源于该游戏是Steam近期飙升的免费游戏，上线近两个月就获得数百条“特别好评”。

《BlockBlasters》是一款2D像素风格的动作冒险游戏，玩家评价其玩法经典，属于优质的免费休闲游戏。正因如此，它吸引用户并不意外。但玩家们没想到，开发者竟暗藏恶意意图。

据安全专家复盘，《BlockBlasters》开发者处心积虑，通过社交平台接触管理大量加密资产的用户，邀请他们下载游戏，预先筛选特定目标。8月30日，开发者上传Build 19799326补丁，这个恶意补丁包含危险文件，将常规游戏更新变为窃取敏感数据的工具，盗取受害者电脑的加密货币钱包信息、浏览器凭证和Steam登录详情。

对普通玩家而言，这种攻击手段效果有限，因为他们电脑中多有价值的是工作或学习资料。针对这类数据，黑客通常使用“勒索病毒”。但由于“勒索病毒”名声在外，通过Steam审查难度大，而《BlockBlasters》的恶意补丁则绕过了Steam的初始安全筛查机制。

事实上，Steam并非首次出现恶意游戏。今年2月，一款名为《PirateFi》的游戏以Beta测试身份登录平台，攻击者通过内置恶意程序劫持浏览器cookie实现“无密码登陆”，获取Steam账号信息的ssfn文件，最终窃取用户Steam点数等虚拟资产。

有趣的是，自2023年10月起，Steam实施开发者双因素认证，旨在遏制黑客窃取开发者身份分发恶意软件的行为。以往Steam游戏也曾被黑客用作攻击跳板，但这次情况不同，因为黑客本身就是游戏开发者。

双因素认证是过去多年厂商力推的防护手段，要求用户在登录时除密码外，还需出示另一个身份认证因素，如网易将军令或端游时代的数字密保卡。实战检验显示，双因素认证效果显著，微软数据表明它能阻止99.9%的账号接管攻击。

当然，这次《BlockBlasters》玩家受害事件并非黑客为盗币有意开发游戏，而是游戏开发者铤而走险。

游戏开发者也能成为黑客？这并非天方夜谭，因为AI赋能万物，如今“黑产”也在AI帮助下脱胎换骨。

由于AI大幅降低网络攻击技术门槛，不懂代码的人也能利用工具成为黑客。例如通过生成式AI，攻击者可轻松生成迷惑性钓鱼邮件、制作逼真假网站，发动网络钓鱼攻击，甚至越过大模型“电子围栏”，让AI生成病毒代码。

安全公司Check Point此前发现，2024年底出现、攻击模式老套的FunkSec病毒，就高度疑似AI作品。简而言之，游戏开发者作恶只是一念之间。估计Valve都没想到，游戏开发者和黑客身份能无缝切换。

通常，Steam乃至App Store、Google Play等平台对应用审查先紧后松，新应用、新游戏被盯得更紧，老应用增量更新关注度低。

此事一出，Steam玩家需谨慎，下载新游戏前最好对开发者背调，警惕无官网、无社区、无发言记录的“三无开发者”，并实现权限最小化。