最近刷到一个离谱的事,差点没给我整不会了。
有个叫《Beyond The Dark》的游戏,之前Steam上免费领,结果被人扒出来里面塞了 malware——专门偷你 crypto 钱包那种。现在这游戏已经被下架了,但整个过程细思极恐。
事情是网络安全 YouTuber Eric Parker 在 5 月 18 号爆出来的。他说自己收到好几个观众留言,让他查查这游戏。一查不要紧,Unityplayer.dll 这个文件有问题。具体来说,程序会扫描你 Chrome 的扩展插件,Parker 推测是在找 MetaMask 这类 crypto 钱包的信息。
更骚的是,这玩意儿还会连到 C2 服务器下载更多恶意软件。逻辑大概是:先扫你有没有 crypto 相关的扩展,确认有了再下黑手。Parker 用 ANY.RUN 的虚拟环境跑了一遍,确实抓到可疑文件在下载。
诡异的是,这游戏居然能正常启动。但 Parker 想从菜单进游戏的时候直接崩溃了,所以实际能不能玩成,他也没验证出来。
然后重点来了——这游戏根本不是"原生"的 malware 游戏,而是借壳上市。
查 SteamDB 的改动记录会发现,这页面原来是个叫《Rodent Race》的游戏,今年 5 月 4 到 5 号才改成《Beyond The Dark》。开发商和发行商也从"hyperg8"改成了"Beyond The Dark"。更关键的是,原本收费的游戏,改成免费了。
简单说,就是有人 hijack 了一个 existing 的商店页面,通过 update 把整个游戏换成了另一个东西。
《Rodent Race》本来是个动物主题的 strategy 游戏。现在页面截图和英文描述都改成了恐怖动作风,但日文描述还是老的——"受国际象棋启发的回合制策略游戏,在岛中央收集橡果,顺便干掉敌人的棋子"。Steam 成就也没改,英文版还挂着"击败海狸""击败水豚"这种跟恐怖游戏八竿子打不着的成就。
SteamDB 显示,改名之后两周内文件被改了无数次。一个动物 strategy 游戏,短期密集更新变成恐怖游戏,这操作本来就够可疑了。
社区里有人猜是原开发者账号被 hack 了,页面被人恶意利用。Steam 的审核机制是:新游戏上架要审,但 update 是事后审,可以先发后审。所以你想做个 malware 游戏从零开始,大概率初审就被 ban 了;但找个 existing 页面,发个"update"整个替换掉,就能绕过这关。
Parker 事后警告说,这种 malware 很多是靠朋友口口相传扩散的。看到可疑游戏要举报,朋友突然安利你游戏的时候,最好多问一句"你号是不是被盗了"。
这事虽然被快速处理下架了,但手法已经公开了,难保没有下一家。如果收到消息让你领免费游戏,但发现页面有明显对不上的地方——比如描述和截图风格不符、成就和内容无关、或者游戏突然从付费变免费——建议先别装,顺手点个举报也不亏。
说白了,免费领游戏的时候多留个心眼,尤其是那种"朋友突然留言安利"的场合。Steam 的审核不是万能的,自己的钱包还得自己守。
热门跟贴