Steam因Chemia遭黑客攻击而下架该游戏

生存建造游戏《Chemia》在网络安全研究人员发现其正在分发旨在窃取加密钱包信息和浏览器数据的恶意软件后，已从Steam平台下架。该恶意软件与一个名为EncryptHub（又称Larva-208）的已知网络犯罪组织有关。该游戏曾通过Steam的抢先体验计划上线，该计划允许玩家体验仍在开发中的游戏。

恶意软件嵌入在Steam游戏文件中

根据网络安全公司Prodaft发布的一份报告，《Chemia》游戏文件于7月22日被修改，植入了三种不同类型的恶意软件：HijackLoader、Vidar Stealer和Fickle Stealer。这些恶意软件通常用于窃取用户的敏感信息，包括浏览器中存储的凭据、Cookie和数字钱包密钥。

HijackLoader允许攻击者通过在后台静默运行来感染系统。Vidar Stealer和Fickle Stealer通过针对基于浏览器的存储和加密相关文件进一步提取个人数据。由于这些工具并未显著影响游戏性能，大多数玩家并未意识到系统已被入侵。

Steam因Chemia遭黑客攻击而下架该游戏

攻击目标为Telegram和远程服务器

Prodaft的分析显示，该恶意软件使用Telegram作为命令与控制通道。通过这种设置，攻击者能够远程发送指令并控制受感染的机器。额外的恶意文件通过特定的可执行文件和脚本下载，包括Vidar Stealer使用的名为v9d9d.exe的文件，以及Fickle Stealer使用的名为cclib.dll的动态链接库和名为worker.ps1的PowerShell脚本的组合。

这些文件从一个名为soft-gets[.]com的外部网站拉取代码。这个远程基础设施使得恶意软件能够保持活跃和适应性。它还为攻击者提供了随时更新恶意组件的能力，进一步增加了检测和清除的难度。

Steam因Chemia遭黑客攻击而下架该游戏

Steam未发表官方声明即下架游戏

发现问题后，Valve将《Chemia》从Steam商店下架。截至目前，该游戏的商店页面已不存在，并会将用户重定向到平台主页。Valve尚未发布关于下架的公开声明，游戏开发商Aether Forge Studios也未发表任何评论。包括BleepingComputer在内的媒体机构曾联系双方，但均未收到信息回复。

该游戏通过Steam的抢先体验计划发布，该计划此前曾因安全和内容审核不严而受到批评。由于该版块的游戏仍在开发中，它们可能更容易受到未经授权的代码更改或不充分的审核流程的影响。

Steam的抢先体验计划

其他抢先体验游戏也被发现含有恶意软件

这并非孤立事件。今年早些时候，Steam上的另外两款抢先体验游戏（《Sniper: Phantom's Resolution》和《PirateFi》）也被发现含有有害软件。尽管《PirateFi》被描述为一款内置加密功能的web3游戏，但《Chemia》和《Sniper: Phantom's Resolution》都是没有区块链元素的标准PC游戏。这三款游戏都是抢先体验版本，引发了人们对Steam当前系统是否提供了足够的保障，以防止通过未经验证或开发中的游戏分发恶意软件的担忧。

Sniper: Phantom's Resolution

EncryptHub是何方神圣？

与《Chemia》事件相关的组织EncryptHub此前曾使用类似的恶意软件组合发起大规模网络钓鱼活动。在一个有记录的案例中，他们的攻击影响了全球600多个组织。根据Prodaft的说法，该组织最近将Steam作为分发平台，是其早期技术的一种演变，旨在利用玩家对信誉良好服务的信任。

Prodaft的报告指出，直接从Steam下载的游戏可执行文件对用户来说是合法的。这种方法绕过了传统的网络钓鱼手段，转而通过受信任的数字商店进行社会工程。研究人员强调，访问免费游戏或公开测试的玩家尤其面临风险，因为他们可能会下载并安装恶意软件，误以为这是无害游戏的一部分。

EncryptHub

游戏领域恶意软件攻击日益增多

针对视频游戏的网络安全威胁正在增加。Statista的数据显示，过去十年中恶意软件感染增加了87%。此外，Cybersecurity Ventures估计，到2025年，全球网络犯罪成本将达到10.5万亿美元，是2015年的三倍多。拥有庞大用户群的数字平台，如Steam，由于用户对其高度信任，正成为频繁的目标。

涉及数字货币或web3服务的用户在这种情况下尤其脆弱。当游戏悄无声息地提取钱包密钥或登录凭据时，财务影响可能是即时且严重的。《Chemia》事件强调了在服务于游戏和技术精通用户的平台上，加强验证流程的必要性。