游戏开发者变黑客：Steam平台再现恶意软件

“仅仅玩了一款游戏，我的救命钱就消失了”，这不是电影情节，而是近期真实发生在海外游戏主播“RastalandTV”身上的惨痛经历。这位主播在社交平台上透露，他为抗癌收到的价值超过32000美元加密货币捐款，在安装了《BlockBlasters》这款游戏后被盗。

癌症、捐款、加密货币、Steam这些元素交织在一起，迅速吸引了大量海外网友的关注。随后，安全研究人员发现，有超过260名《BlockBlasters》玩家遭遇类似情况，被盗金额超过15万美元。这款游戏之所以吸引众多受害者，是因为它在Steam上排名飙升，上线近两个月就积累了数百条“特别好评”。

作为一款2D像素风的动作冒险游戏，《BlockBlasters》被体验过的玩家誉为“经典的动作冒险闯关游戏”。因此，这款免费的休闲游戏能吸引一批用户并不奇怪。然而，玩家们没想到，开发者竟会暗藏祸心。

据安全研究人员分析，《BlockBlasters》的开发者精心策划，通过社交平台接触并筛选管理大量加密资产的用户，邀请他们下载游戏。8月30日，开发者上传了Build 19799326补丁，这个恶意补丁包含多个危险文件，将常规的游戏更新变成了窃取敏感数据的工具，从而盗取了受害者电脑里的加密货币钱包信息、浏览器凭证以及Steam登录详情。

对于普通玩家而言，《BlockBlasters》开发者的这些手段效果有限，因为他们电脑里最有价值的内容往往是工作和学习资料。针对这类数据，黑客圈通常使用“勒索病毒”。但由于“勒索病毒”太过出名，通过Steam的审查难度太大，而《BlockBlasters》的恶意补丁则成功绕过了Steam的初始安全筛查机制。

事实上，这已经不是Steam第一次出现恶意游戏了。今年2月，一款名为《PirateFi》的游戏以Beta测试身份登录该平台，攻击者通过内置恶意程序劫持浏览器cookie实现“无密码登录”，并获取了保存Steam账号信息的ssfn文件，最终窃取了用户的虚拟资产。

有趣的是，自2023年10月起，Steam宣布实施开发者双因素认证，旨在遏制黑客恶意窃取游戏开发商身份、分发恶意软件的行为。以往也有Steam游戏被黑客用作攻击玩家的跳板，但这一次的情况截然不同，因为黑客本身就是游戏开发者。

双因素认证是近年来许多厂商力推的新型防护手段，它要求用户在登录过程中除了提交密码外，还需提供另一个身份认证因素。例如网易将军令和端游时代的数字密保卡。事实上，双因素认证的效果已经得到了实战验证，微软的数据显示，它能阻止99.9%的账号接管攻击（ATO）。

这一次的《BlockBlasters》玩家受害事件并非黑客为了盗窃加密货币而开发游戏，而是游戏开发者铤而走险。

游戏开发者也能成为黑客？这并非天方夜谭。因为AI正在赋能各行各业，包括“黑产”。

由于AI大幅降低了网络攻击的技术门槛，使得不懂代码和技术的人也能成为黑客。例如通过生成式AI，攻击者可以轻松生成具有迷惑性的钓鱼邮件、制作逼真的虚假网站等。安全公司Check Point此前就发现，高度疑似为AI作品的FunkSec病毒。

简而言之，游戏开发者想要作恶真的只是一念之间。估计Valve自己都没有想到，有朝一日游戏开发者会无缝切换成黑客。

通常，Steam等平台对新应用、新游戏的审查较严，而对老应用的增量更新关注较低。此次事件再次提醒Steam玩家需谨慎下载新游戏，最好对开发者进行背景调查，并尽量实现相关权限的最小化。