Steam商店页面上周又出事了。一款叫《Beyond The Dark》的免费恐怖游戏,表面看是《恐鬼症》那种联机抓鬼的味儿,结果下载完发现电脑开始不对劲——这游戏在后台疯狂偷数据。Valve现在已经把它下架了,但整个事情的过程让人挺无语的:换个皮、过审核、再注入恶意代码,这套操作看起来比想象中简单太多。
这事的时间线得从2024年12月说起。那时候这款游戏还不叫《Beyond The Dark》,而是叫《Rodent Race》,宣传图和玩法完全不一样。根据SteamDB的更新记录,5月4号开始,这个页面逐渐被新内容覆盖:游戏名改了、封面换了、描述重写、实际执行的文件也全换了。到5月中旬,它已经彻底变成另一款游戏,而Steam的审核系统似乎没触发任何警报。
这不是Steam第一次遇到这种情况。今年早些时候,《Chemia》和《PirateFi》两款游戏也是类似的路数——先以正常游戏过审,上线后再通过更新注入恶意程序。这两个案子闹得够大,FBI都已经介入调查。《Beyond The Dark》的手法几乎复制粘贴:利用Steam对已有游戏的更新审核相对宽松,把恶意代码塞进去。
网络安全博主Eric Parker拆解了这个游戏的运作方式。它伪装得相当普通:画面粗糙的独立恐怖游戏、支持多人联机、免费下载,完全符合"朋友开黑随便玩玩"的场景。但安装后,它会在后台运行额外的进程,收集用户数据并向外传输。具体偷了什么,Parker的分析没细说,但这类程序通常瞄准浏览器记录、登录凭证、甚至加密货币钱包。
Valve的审核机制在这里暴露了一个结构性问题。新游戏上架需要经过一轮审查,但更新包的处理明显更轻量。逻辑上这说得通——如果每次小补丁都要人工再审一遍,独立开发者根本没法干活。但这也意味着,一旦有人用"先过审再变脸"的策略,系统很难实时拦截。
更麻烦的是AI编程工具的流行。现在用Claude这类软件写代码门槛极低,"vibe coding"这个词说的就是这种现象:描述你想要什么,AI生成代码,你复制粘贴运行。对正经开发者来说是效率工具,对想搞恶意软件的人来说同样是。我都能想象那个场景:一个人用AI快速拼凑出一个能运行的游戏框架,过审后再让AI写数据收集模块,整个流程不需要多深的编程功底。
不过说实话,这类恶意游戏大多有个共同特征——看起来就很可疑。《Beyond The Dark》的画面质量、游戏机制描述、甚至那个明显蹭《恐鬼症》热度的宣传角度,都透着一股"低成本快速上线"的味道。问题是,免费游戏+联机恐怖这个组合,正好击中了很多玩家的痛点:想和朋友找点刺激,又不想花钱,看到"免费"两个字就点了下载。
Steam的社区评价系统在这里起到了一定作用。足够多的玩家举报和负面评论,最终让Valve注意到了异常并下架处理。但这已经是事后补救,那些已经下载安装的人,数据可能早就泄露了。
回看整个事件,有几个细节值得记住。首先是时间:从5月4号开始偷换内容,到5月中旬被下架,窗口期大约两周。其次是规模:目前没看到大规模受害报告,说明要么影响范围有限,要么很多人还没意识到自己中招。最后是手法:完全复刻了之前被FBI盯上的那两款游戏的套路,说明这个攻击路径已经被验证有效,而且正在被复制。
Valve会怎么应对?短期内可能是加强更新审核,但这和开发效率天生矛盾。长期看,或许需要更智能的代码扫描工具,在更新上传时自动检测异常行为。不过技术对抗从来都是猫鼠游戏,防守方永远慢半拍。
对普通玩家来说,这事倒是个提醒。免费游戏不是不能碰,但看到那种"看起来像是用一周赶工出来"的质量,还打着热门游戏旗号的时候,多留个心眼。另外,安装来源不明的程序时,给电脑做个隔离环境或者至少开个好点的杀毒软件,不算过分谨慎。
《Beyond The Dark》现在已经从Steam消失,但页面存档和玩家讨论还在。有人翻出它之前叫《Rodent Race》时的截图,对比之下几乎看不出是同一个商店页面。这种彻底的身份置换,在Steam的历史上不算常见,但可能越来越不罕见。
最后说个有点黑色幽默的事:这款游戏在Steam上的标签曾经包括"心理恐怖",现在看倒是相当准确——只不过恐怖的不是游戏内容,是安装之后发生的事。
热门跟贴