关键发现
Steam公然撒谎、包庇罪犯并妨碍调查。
引言:一场蓄意疏忽的犯罪
2025年8月,全球最大的游戏平台Steam不仅遭遇了安全漏洞,甚至主动促成了这一漏洞的发生。由于一系列系统性故障和严重疏忽,Valve导致该游戏 BlockBlasters (AppID 3872350) 被用作一场破坏性极强的恶意软件攻击活动的木马程序。这并非一次复杂且难以防范的攻击,而是一次教科书式的窃取数据行动——之所以得逞,正是因为 Steam 的安全机制存在根本性缺陷。 在长达 22 天的时间里,该攻击窃取了数十万美元,清空了加密货币钱包,并入侵了用户账户,而 Valve 却对此置之不理。
当真相大白时,Valve的反应并非保护用户,而是维护自身形象。该公司发布了一份充满欺骗性的声明,将责任归咎于“遭入侵的开发者账户”——这不过是一个可悲的谎言,旨在推卸责任并逃避法律追责。本文将揭穿这一谎言。 我们将借助取证数据、时间线分析以及Valve自身的政策,证明此次事件不仅是失职,更是对刑事过失的蓄意掩盖。

身份曝光
Steam公然撒谎,并隐瞒了瓦伦丁·洛佩斯(Valentin Lopes)——这位恶意应用程序背后的已验证开发者。
22天的无所作为时间线
Valve 本有 22 天的时间来阻止此事。用户投诉纷至沓来,平台数据也显示出明显的异常迹象。他们的沉默是一种选择。
《BlockBlasters》正式上线。一个干净、合法的版本已通过 Steam 的审核流程。
陷阱已布好。攻击者推送了补丁版本 19799326。该更新包含恶意软件有效载荷,经 Steam 批准后分发给所有玩家。
首批受害者拉响了警报。用户纷纷向 Steam 客服提交工单,报告 CPU 使用率异常、可疑的网络流量,以及 最关键的是 加密货币被盗。这些工单却石沉大海,被 Valve 置之不理。
数据发出了刺耳的警告。SteamDB的公开遥测数据显示,玩家数量已骤降至个位数,然而该游戏仍安装在数百台设备上,悄无声息地窃取数据。这种巨大的反差本应被任何有效的监控系统察觉,这无疑是一个危险信号。
社区采取行动。独立安全研究人员揭露了该恶意软件基于Telegram的指挥与控制基础设施,迫使黑客不得不采取行动。
证据确凿。G DATA CyberDefense AG 发布了一份完整的取证报告,证实了该恶意软件的多阶段攻击路径,并披露了此次数据泄露事件的技术细节。
此次袭击的剖析
这并非什么尖端恶意软件。它只是由常见脚本和窃取工具粗糙却有效的组合而成,对于一个市值数十亿美元的平台来说,本应轻而易举就能检测出来。
第1阶段:初始入侵(game2.bat)
初始有效载荷是一个简单的批处理脚本,用于执行基础侦察:收集 IP 地址、地理位置以及 Steam 用户信息。随后,它下载了一个受密码保护的 ZIP 文件(v1.zip)——这是一种绕过简单自动扫描器的经典技巧。
第二阶段:规避与升级(VBS 加载器)
该恶意软件利用VBS脚本,在隐藏的命令窗口中执行其核心组件。它将自身所在的目录添加到了Microsoft Defender的排除列表中,这一操作本应在任何受监控的系统上立即触发高优先级的警报。
第三阶段:数据窃取(Client-built2.exe 和 Block1.exe)
在防御机制被禁用后,该恶意软件部署了其主要有效载荷:一个基于 Python 的后门(用于持久访问)以及 StealC 信息窃取器的变种。它主要针对 Chrome、Edge 和 Brave 浏览器中的浏览器数据、会话令牌,以及最重要的——加密货币钱包。 所有窃取的数据均通过不安全的HTTP流量被传输至两台命令与控制服务器。加密货币窃取工具的IOC证实,Steam是此类有组织盗窃行动的恶意软件传播载体。
背叛的信任
正是他们对证书的盲目信任和疏忽大意,导致了数十起被他们掩盖的盗窃案。这堪称教科书式的供应链攻击,大规模利用了平台信任漏洞。
入侵迹象(IOC)
| 文件 | SHA256 | 分类 |
|---|---|---|
game2.bat | aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3
|
BAT.Trojan-Stealer.StimBlaster.F |
launch1.vbs | c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3
|
Script.Malware.BatchRunner.A@IOC |
test.vbs | b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b
|
Script.Malware.BatchRunner.A@IOC |
Client-built2.exe | 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a
|
Win64.Backdoor.StimBlaster.L6WGC3 |
Block1.exe | 59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9e | Win32.Trojan-Stealer.StealC.RSZPXF |
揭穿谎言:“账号被黑”纯属无稽之谈
掩盖真相被揭穿
Steam 撒谎并帮助受害者,而其公司则对开发者进行审核,并向其内容授予最高级别的信任认证。
让我们直截了当地指出Valve那套“开发者账号被黑”的借口本质是什么: 一个可悲且很容易被揭穿的谎言。 这无异于对用户智商的侮辱,是一种为了让他们免受自身疏忽所致后果的指责而编造的说辞。只要看看Steam自身的强制性流程,整个谎言便不攻自破。
- “100美元门槛”与身份验证: 要在 Steam 上发布游戏,每位开发者都必须通过 Steam Direct 计划。这需要支付 100 美元的费用,并完成“了解你的客户”(KYC)流程,提供法定姓名、银行信息和税务文件。 肇事者并非匿名幽灵;Valve 手中掌握着其经过验证的身份和财务信息。这表明他们的不作为是一种有意识的选择,即为了保护一位经过验证的合作伙伴,而牺牲了自身用户的利益。
- “22天停电”的迷思: Steamworks 为开发者提供了强大的工具来保障其账户安全。如果合法开发者失去了对账户的控制权,可以提交一份“发布商凭证访问权限丢失”的工单。该流程设计得非常快捷,能在数小时内(而非数周)冻结发布权限和构建版本。 所谓“开发者被锁定账户超过 20 天,而其游戏却在传播恶意软件”的说法是荒谬的。这暗示了两种可能的情况,而这两种情况都指责 Valve:要么是开发者沆瀣一气,要么是 Valve 不仅无视了开发者发出的数十份用户投诉,还无视了他们焦急求助的支持工单。
- 对用户投诉的系统性忽视: 数十名用户提交了关于资金被盗、恶意软件活动以及账户遭入侵的详细报告。这些并非模糊的投诉,而是可采取行动的情报。 一个称职的支持系统本应在24小时内对这些情况发出预警,上报问题,并在调查期间冻结该应用页面。Valve在22天内未能采取这些措施,这绝非疏忽,而是蓄意视而不见的政策。
“核心欺骗”:篡改数字犯罪现场
正是在这一点上,Valve的掩盖行为已从简单的疏忽升级为一种只能被描述为 篡改数字犯罪现场。 请明确说明这一点:Valve 并未下架这款受感染的游戏。
追踪该C2基础设施的安全研究人员提供的取证证据和分析结果明确证实:犯罪分子亲自从Steam服务器上删除了他们的恶意程序。他们是在9月21日,即其Telegram控制群组被公开曝光之后才采取这一行动的。他们实施了“焦土”式撤退,销毁证据以掩盖行踪。

Valve声称已采取行动,这纯属捏造。Valve等到攻击者销毁了自身行踪后才出手删除商店页面,实际上纵容了关键证据被销毁。这并非危机公关,而是妨碍司法。他们并非在保护用户,而是通过确保“犯罪现场”被清理干净来保护自己。
企业漠视所造成的人力成本
Valve 的疏忽导致了现实世界中的后果,但该公司对此却完全没有承担任何责任。
- 财务破产: 被盗金额超过15万美元(看起来似乎超过100万美元)。对许多人来说,这笔钱足以改变他们的人生。一位主播在为癌症治疗进行的慈善直播中损失了3.2万美元。
- 背信弃义: 数百名用户的账户遭到入侵,数据被盗,系统遭到感染。
- 绝对的寂静: 时至今日,Valve 既未提供退款,也未给予补偿,更未作出真诚的道歉。他们那份千篇一律的回复,是对每一位受害者的侮辱。
动机:利润至上,漠视人权
Valve 为何会允许这种情况发生?其动机既简单又冷酷: 它更便宜。
一次真正的安全体系大改造——对所有构建版本实施沙箱测试、分离开发者凭证、聘请一支专业的安全团队,并发布透明度报告——将耗资数百万。向受害者支付赔偿金将开创一个代价高昂的先例。
还有别的选择吗?发布一份含糊其辞、具有误导性的声明,让新闻热度逐渐消退,从而将公关负面影响降至最低。这是一项经过深思熟虑的商业决策,其中用户安全被视为可以接受的牺牲。
这种疏忽现象并非新鲜事。从PirateFi(2024年)到Chemia(2025年),Valve一再无视警告,放任恶意软件进入其平台,直到引发公众强烈抗议后才采取行动。BlockBlasters并非特例,而是腐朽的安全文化所导致的必然结果。
最终裁决:罪名成立
让事实自己说话。
- 事实: Valve 的自动化系统批准了一个包含微不足道恶意软件的构建版本。
- 事实: Valve的支持团队在三周内一直无视受害者的直接警告。
- 事实: 直到黑客自己删除了恶意文件后,Valve才采取行动。
- 事实: Valve的官方声明是对事件的蓄意歪曲,旨在逃避责任。
Valve 不仅失职,还撒了谎。它掩盖了自己的疏忽,维护自己的利润,却让用户为此买单。社区对 Steam 的信任已遭到不可挽回的破坏。这并非一个错误,而是一种背叛。




