Kết luận quan trọng
Steam ngang nhiên nói dối, bao che cho bọn tội phạm và cản trở cuộc điều tra.
Giới thiệu: Một tội ác do sự cẩu thả có chủ ý
Vào tháng 8 năm 2025, Steam – nền tảng trò chơi lớn nhất thế giới – không chỉ phải hứng chịu một vụ vi phạm an ninh mà còn chủ động tạo điều kiện cho vụ việc đó xảy ra. Thông qua một chuỗi các sự cố hệ thống và sự cẩu thả nghiêm trọng, Valve đã để cho trò chơi BlockBlasters (AppID 3872350) đã trở thành một con ngựa thành Troia cho một chiến dịch phần mềm độc hại gây hậu quả nghiêm trọng. Đây không phải là một cuộc tấn công tinh vi và không thể ngăn chặn. Đó là một chiến dịch đánh cắp dữ liệu theo kiểu “sách giáo khoa”, thành công chỉ vì hệ thống bảo mật của Steam vốn đã có lỗ hổng cơ bản. Trong 22 ngày, nó đã đánh cắp hàng trăm nghìn đô la, làm cạn kiệt các ví tiền điện tử và xâm phạm các tài khoản người dùng trong khi Valve không có bất kỳ hành động nào.
Khi sự thật được phơi bày, phản ứng của Valve không phải là bảo vệ người dùng, mà là bảo vệ hình ảnh của mình. Công ty này đã đưa ra một tuyên bố duy nhất, đầy dối trá, đổ lỗi cho một “tài khoản nhà phát triển bị xâm nhập” — một lời nói dối thảm hại nhằm đổ lỗi cho người khác và trốn tránh trách nhiệm pháp lý. Bài viết này sẽ vạch trần lời nói dối đó. Dựa trên dữ liệu pháp y, phân tích dòng thời gian và chính các chính sách của Valve, chúng tôi sẽ chứng minh rằng vụ việc này không chỉ là sự thiếu hành động, mà còn là một hành vi che giấu có chủ ý nhằm che đậy sự cẩu thả mang tính hình sự.

Danh tính bị lộ
Steam đã ngang nhiên nói dối và che giấu Valentin Lopes — nhà phát triển đã được xác minh đứng sau ứng dụng độc hại này.
Lịch trình 22 ngày của sự bất động
Valve có 22 ngày để ngăn chặn chuyện này. Các báo cáo từ người dùng liên tục đổ về, và dữ liệu từ nền tảng cho thấy những dấu hiệu rõ ràng về vấn đề. Sự im lặng của họ là một sự lựa chọn.
BlockBlasters chính thức ra mắt. Một bản dựng sạch sẽ và hợp lệ đã được quy trình kiểm duyệt của Steam phê duyệt.
Cái bẫy đã được giăng sẵn. Những kẻ tấn công tung ra bản vá Patch Build 19799326. Bản cập nhật này, chứa mã độc, đã được Steam phê duyệt và phân phối đến tất cả người chơi.
Những nạn nhân đầu tiên đã gióng lên hồi chuông cảnh báo. Người dùng ồ ạt gửi các phiếu yêu cầu hỗ trợ đến bộ phận Hỗ trợ Steam để báo cáo tình trạng sử dụng CPU bất thường, lưu lượng mạng đáng ngờ và —điều nghiêm trọng nhất— tiền điện tử bị đánh cắp. Những phiếu yêu cầu này rơi vào “hố đen”, bị Valve phớt lờ.
Dữ liệu đang phát đi một lời cảnh báo rõ ràng. Dữ liệu theo dõi công khai từ SteamDB cho thấy số lượng người chơi đã sụt giảm xuống chỉ còn một con số, song trò chơi vẫn được cài đặt trên hàng trăm máy tính và âm thầm rò rỉ dữ liệu. Sự chênh lệch lớn này là một tín hiệu cảnh báo mà bất kỳ hệ thống giám sát nào hoạt động hiệu quả đều phải phát hiện ra.
Cộng đồng đã vào cuộc. Các nhà nghiên cứu bảo mật độc lập đã vạch trần cơ sở hạ tầng chỉ huy và điều khiển dựa trên Telegram của phần mềm độc hại này, buộc bọn hacker phải lộ diện.
Bằng chứng là không thể chối cãi. G DATA CyberDefense AG đã công bố một báo cáo pháp y đầy đủ, xác nhận phương thức tấn công nhiều giai đoạn của phần mềm độc hại và tiết lộ các chi tiết kỹ thuật liên quan đến vụ vi phạm.
Cấu trúc của cuộc tấn công
Đây không phải là phần mềm độc hại tiên tiến. Đó là một hỗn hợp thô sơ nhưng hiệu quả gồm các tập lệnh thông thường và các công cụ đánh cắp dữ liệu, vốn lẽ ra phải là chuyện nhỏ đối với một nền tảng trị giá hàng tỷ đô la để phát hiện.
Giai đoạn 1: Xâm nhập ban đầu (game2.bat)
Tải trọng ban đầu, một tập lệnh batch đơn giản, đã thực hiện các hoạt động trinh sát cơ bản: thu thập địa chỉ IP, vị trí địa lý và thông tin người dùng Steam. Sau đó, nó đã tải xuống một tệp ZIP được bảo vệ bằng mật khẩu (v1.zip) — một kỹ thuật cổ điển nhằm vượt qua các công cụ quét tự động thiếu tinh vi.
Giai đoạn 2: Tránh phát hiện và leo thang (Trình tải VBS)
Bằng cách sử dụng các tập lệnh VBS, phần mềm độc hại đã thực thi các thành phần cốt lõi của mình trong các cửa sổ lệnh ẩn. Nó đã thêm thư mục của chính nó vào danh sách loại trừ của Microsoft Defender, một hành động lẽ ra phải kích hoạt cảnh báo ngay lập tức với mức độ ưu tiên cao trên bất kỳ hệ thống nào đang được giám sát.
Giai đoạn 3: Đánh cắp dữ liệu (Client-built2.exe & Block1.exe)
Khi các hệ thống phòng thủ bị vô hiệu hóa, phần mềm độc hại đã triển khai các tải trọng chính của mình: một cửa hậu dựa trên Python để truy cập liên tục và một biến thể của công cụ đánh cắp thông tin StealC. Nó nhắm mục tiêu vào dữ liệu trình duyệt, mã thông báo phiên và, quan trọng nhất, các ví tiền điện tử trên Chrome, Edge và Brave. Tất cả dữ liệu bị đánh cắp đều được chuyển đến hai máy chủ điều khiển và chỉ huy qua lưu lượng HTTP không được bảo mật. Các chỉ số IOC liên quan đến phần mềm đánh cắp tiền điện tử đã xác nhận Steam là một kênh phân phối phần mềm độc hại cho các hoạt động trộm cắp có tổ chức.
Niềm tin bị phản bội
Chính sự tin tưởng vào chứng chỉ của họ cùng với thái độ coi thường đã dẫn đến hàng chục vụ trộm cắp mà họ cố tình che giấu. Điều này là một ví dụ điển hình về cuộc tấn công chuỗi cung ứng, khai thác sự tin tưởng vào nền tảng trên quy mô lớn.
Các chỉ số cho thấy hệ thống bị xâm nhập (IOC)
| Tệp | SHA256 | Phân loại |
|---|---|---|
game2.bat | aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
|
BAT.Trojan-Stealer.StimBlaster.F |
launch1.vbs | c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3
|
Script.Malware.BatchRunner.A@IOC |
test.vbs | b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b
|
Script.Malware.BatchRunner.A@IOC |
Client-built2.exe | 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a
|
Win64.Backdoor.StimBlaster.L6WGC3 |
Block1.exe | 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e | Win32.Trojan-Stealer.StealC.RSZPXF |
Vạch trần sự dối trá: Câu chuyện về “tài khoản bị hack” hoàn toàn là bịa đặt
Vụ che giấu bị phanh phui
Steam che giấu sự thật và hỗ trợ các nạn nhân, trong khi công ty của họ kiểm tra các nhà phát triển và cấp chứng nhận tin cậy cao nhất cho nội dung của họ.
Hãy gọi cái cớ “nhà phát triển bị hack” của Valve đúng với bản chất của nó: một lời nói dối thảm hại và dễ dàng bị vạch trần. Đó là một sự xúc phạm đối với trí tuệ của cộng đồng người dùng, một câu chuyện được dựng lên nhằm che đậy những hậu quả do chính sự cẩu thả của họ gây ra. Toàn bộ câu chuyện viển vông này sẽ sụp đổ ngay khi bạn xem xét các quy trình bắt buộc của chính Steam.
- “Bức tường 100 đô la” và việc xác minh danh tính: Để phát hành trò chơi trên Steam, mọi nhà phát triển đều phải tham gia chương trình Steam Direct. Điều này bao gồm việc nộp khoản phí 100 USD và hoàn tất quy trình “Xác minh danh tính khách hàng” (KYC), trong đó phải cung cấp tên thật, thông tin tài khoản ngân hàng và các tài liệu thuế. Thủ phạm không phải là một “bóng ma” ẩn danh; Valve đã có thông tin xác minh danh tính và chi tiết tài chính của họ trong hồ sơ. Điều này khiến việc họ không hành động trở thành một lựa chọn có chủ ý nhằm bảo vệ một đối tác đã được xác minh thay vì người dùng của chính họ.
- Huyền thoại về “22 ngày mất điện”: Steamworks cung cấp cho các nhà phát triển những công cụ mạnh mẽ để bảo mật tài khoản của họ. Một nhà phát triển hợp pháp bị mất quyền kiểm soát có thể gửi yêu cầu hỗ trợ với nội dung “mất quyền truy cập vào thông tin đăng nhập của nhà phát hành”. Quy trình này được thiết kế để diễn ra nhanh chóng, tạm ngưng quyền phát hành và các bản dựng trong vòng vài giờ, chứ không phải vài tuần. Ý tưởng rằng một nhà phát triển có thể bị khóa tài khoản trong hơn 20 ngày trong khi trò chơi của họ đang phát tán phần mềm độc hại là vô lý. Điều này ngụ ý một trong hai kịch bản, cả hai đều chỉ trích Valve: hoặc là nhà phát triển đã đồng lõa, hoặc là Valve đã phớt lờ các phiếu yêu cầu hỗ trợ khẩn cấp của họ cùng với hàng chục khiếu nại từ người dùng.
- Việc bỏ qua một cách có hệ thống các khiếu nại của người dùng: Hàng chục người dùng đã gửi các báo cáo chi tiết về hành vi trộm cắp tài chính, hoạt động của phần mềm độc hại và việc tài khoản bị xâm phạm. Đây không phải là những khiếu nại mơ hồ; đó là những thông tin tình báo có thể hành động được. Một hệ thống hỗ trợ chuyên nghiệp lẽ ra đã phải phát hiện những vấn đề này, báo cáo lên cấp trên và tạm khóa trang ứng dụng trong vòng 24 giờ để chờ điều tra. Việc Valve không thực hiện điều này trong suốt 22 ngày không phải là sự sơ suất; đó là chính sách cố tình phớt lờ.
Sự lừa dối cốt lõi: Can thiệp vào hiện trường vụ án kỹ thuật số
Đây chính là lúc hành vi che giấu sự thật của Valve đã vượt ra khỏi phạm vi sơ suất đơn thuần để trở thành điều mà chỉ có thể được mô tả là can thiệp vào hiện trường vụ án kỹ thuật số. Hãy khẳng định điều này một cách rõ ràng: Valve không gỡ bỏ tựa game bị nhiễm virus.
Các bằng chứng pháp y và phân tích từ các nhà nghiên cứu bảo mật theo dõi cơ sở hạ tầng C2 đã xác nhận điều này một cách dứt khoát: chính bọn tội phạm đã xóa các bản dựng phần mềm độc hại của chúng khỏi máy chủ của Steam. Chúng thực hiện hành động này vào ngày 21 tháng 9, chỉ sau khi nhóm điều khiển Telegram của chúng bị phơi bày trước công chúng. Chúng đã thực hiện một chiến thuật “đốt sạch” khi rút lui, tiêu hủy bằng chứng để che giấu dấu vết.

Lời khẳng định của Valve về việc đã có hành động can thiệp là một sự bịa đặt trắng trợn. Bằng cách chờ đợi cho đến khi những kẻ tấn công xóa sạch dấu vết của chính chúng trước khi can thiệp để gỡ bỏ trang sản phẩm trên cửa hàng, Valve thực chất đã để cho bằng chứng chính bị tiêu hủy. Đây không phải là biện pháp khắc phục hậu quả; đây là hành vi cản trở công lý. Họ không phải đang bảo vệ người dùng; họ đang tự bảo vệ mình bằng cách đảm bảo hiện trường vụ án được dọn dẹp sạch sẽ.
Giá phải trả về mặt con người do sự thờ ơ của các tập đoàn
Sự cẩu thả của Valve đã gây ra những hậu quả thực tế, nhưng công ty này lại hoàn toàn không chịu bất kỳ trách nhiệm nào về điều đó.
- Sự sụp đổ tài chính: Hơn 150.000 USD đã bị đánh cắp (có vẻ như con số thực tế còn cao hơn 1.000.000 USD). Đối với nhiều người, số tiền này đủ để thay đổi cuộc đời họ. Một streamer đã mất 32.000 USD trong một buổi phát sóng trực tiếp gây quỹ từ thiện nhằm hỗ trợ điều trị ung thư.
- Sự phản bội lòng tin: Hàng trăm người dùng đã bị xâm nhập tài khoản, dữ liệu bị đánh cắp và hệ thống bị nhiễm mã độc.
- Sự im lặng tuyệt đối: Cho đến nay, Valve vẫn chưa hoàn tiền, chưa bồi thường và cũng chưa đưa ra lời xin lỗi chân thành nào. Thư trả lời theo mẫu của họ là một sự sỉ nhục đối với mọi nạn nhân.
Động cơ: Lợi nhuận đặt lên trên con người
Tại sao Valve lại để chuyện này xảy ra? Động cơ đằng sau việc này vừa đơn giản vừa đầy tính thực dụng: Nó rẻ hơn.
Một cuộc cải tổ an ninh thực sự — bao gồm việc triển khai thử nghiệm trong môi trường cách ly cho tất cả các bản dựng, tách biệt thông tin đăng nhập của các nhà phát triển, tuyển dụng một đội ngũ an ninh có năng lực và công bố các báo cáo minh bạch — sẽ tiêu tốn hàng triệu. Việc bồi thường cho các nạn nhân sẽ tạo ra một tiền lệ tốn kém.
Giải pháp thay thế là gì? Đưa ra một tuyên bố mơ hồ, dễ gây hiểu lầm, để dư luận dần quên đi, và chấp nhận mức tổn thất về mặt quan hệ công chúng ở mức tối thiểu. Đó là một quyết định kinh doanh được tính toán kỹ lưỡng, trong đó an toàn của người dùng được coi là một tổn thất có thể chấp nhận được.
Mô hình sơ suất này không phải là điều mới mẻ. Từ vụ PirateFi (2024) đến vụ Chemia (2025), Valve đã nhiều lần phớt lờ các cảnh báo và để phần mềm độc hại xâm nhập vào nền tảng của mình, chỉ hành động sau khi dư luận dậy sóng. Vụ BlockBlasters không phải là một trường hợp ngoại lệ; đó là kết quả tất yếu của một nền văn hóa bảo mật thối nát.
Phán quyết cuối cùng: Có tội như cáo trạng
Hãy để sự thật tự nói lên tất cả.
- Sự thật: Các hệ thống tự động của Valve đã phê duyệt một bản dựng chứa phần mềm độc hại không đáng kể.
- Sự thật: Đội ngũ hỗ trợ của Valve đã phớt lờ những cảnh báo trực tiếp từ các nạn nhân trong suốt ba tuần.
- Sự thật: Valve chỉ có hành động sau khi chính các hacker đã xóa các tệp độc hại đó.
- Sự thật: Tuyên bố chính thức của Valve là một hành động cố ý xuyên tạc sự việc nhằm trốn tránh trách nhiệm.
Valve không chỉ đơn thuần là thất bại. Họ đã nói dối. Họ đã che giấu sự cẩu thả của chính mình, bảo vệ lợi nhuận của mình và để người dùng phải gánh chịu hậu quả. Niềm tin mà cộng đồng dành cho Steam đã bị phá vỡ một cách không thể hàn gắn. Đây không phải là một sai lầm; đây là một sự phản bội.




