跳转至主要内容
Steam“不是好人”调查

利润凌驾于玩家之上:《BlockBlasters》事件的掩盖(Steam丑闻,第一部分)

我们将推出一项多篇连载的调查报道,揭露Steam背后的隐秘真相, 揭露其运营中的腐败行为、系统性的滥用、剥削和疏忽——这些行为已伤害了数百万用户,并揭露这家全球垄断企业如何将一个游戏平台变成了操纵用户和悄然牟利的机器。

《BlockBlasters》Steam调查——利润优先于玩家

关键发现

Steam公然撒谎、包庇罪犯并妨碍调查。

引言:一场蓄意疏忽的犯罪

2025年8月,全球最大的游戏平台Steam不仅遭遇了安全漏洞,甚至主动促成了这一漏洞的发生。由于一系列系统性故障和严重疏忽,Valve导致该游戏 BlockBlasters (AppID 3872350) 被用作一场破坏性极强的恶意软件攻击活动的木马程序。这并非一次复杂且难以防范的攻击,而是一次教科书式的窃取数据行动——之所以得逞,正是因为 Steam 的安全机制存在根本性缺陷。 在长达 22 天的时间里,该攻击窃取了数十万美元,清空了加密货币钱包,并入侵了用户账户,而 Valve 却对此置之不理。

当真相大白时,Valve的反应并非保护用户,而是维护自身形象。该公司发布了一份充满欺骗性的声明,将责任归咎于“遭入侵的开发者账户”——这不过是一个可悲的谎言,旨在推卸责任并逃避法律追责。本文将揭穿这一谎言。 我们将借助取证数据、时间线分析以及Valve自身的政策,证明此次事件不仅是失职,更是对刑事过失的蓄意掩盖。

企业疏忽时间线:第1天恶意软件发布,第3天出现首批报告,第3天收到多起预警,第10天仍未采取任何行动,1,489,500名受害者信息遭泄露,第22天终于被移除
企业疏忽时间线:第1天恶意软件发布,第3天出现首批报告,第3天收到多起预警,第10天仍未采取任何行动,1,489,500名受害者信息遭泄露,第22天终于被移除

身份曝光

Steam公然撒谎,并隐瞒了瓦伦丁·洛佩斯(Valentin Lopes)——这位恶意应用程序背后的已验证开发者。

22天的无所作为时间线

Valve 本有 22 天的时间来阻止此事。用户投诉纷至沓来,平台数据也显示出明显的异常迹象。他们的沉默是一种选择。

2025年7月31日

《BlockBlasters》正式上线。一个干净、合法的版本已通过 Steam 的审核流程。

2025年8月30日

陷阱已布好。攻击者推送了补丁版本 19799326。该更新包含恶意软件有效载荷,经 Steam 批准后分发给所有玩家。

2025年9月初

首批受害者拉响了警报。用户纷纷向 Steam 客服提交工单,报告 CPU 使用率异常、可疑的网络流量,以及 最关键的是 加密货币被盗。这些工单却石沉大海,被 Valve 置之不理。

2025年9月6日12日

数据发出了刺耳的警告。SteamDB的公开遥测数据显示,玩家数量已骤降至个位数,然而该游戏仍安装在数百台设备上,悄无声息地窃取数据。这种巨大的反差本应被任何有效的监控系统察觉,这无疑是一个危险信号。

2025年9月21日

社区采取行动。独立安全研究人员揭露了该恶意软件基于Telegram的指挥与控制基础设施,迫使黑客不得不采取行动。

2025年9月22日

证据确凿。G DATA CyberDefense AG 发布了一份完整的取证报告,证实了该恶意软件的多阶段攻击路径,并披露了此次数据泄露事件的技术细节。

此次袭击的剖析

这并非什么尖端恶意软件。它只是由常见脚本和窃取工具粗糙却有效的组合而成,对于一个市值数十亿美元的平台来说,本应轻而易举就能检测出来。

第1阶段:初始入侵(game2.bat)

初始有效载荷是一个简单的批处理脚本,用于执行基础侦察:收集 IP 地址、地理位置以及 Steam 用户信息。随后,它下载了一个受密码保护的 ZIP 文件(v1.zip)——这是一种绕过简单自动扫描器的经典技巧。

第二阶段:规避与升级(VBS 加载器)

该恶意软件利用VBS脚本,在隐藏的命令窗口中执行其核心组件。它将自身所在的目录添加到了Microsoft Defender的排除列表中,这一操作本应在任何受监控的系统上立即触发高优先级的警报。

第三阶段:数据窃取(Client-built2.exe 和 Block1.exe)

在防御机制被禁用后,该恶意软件部署了其主要有效载荷:一个基于 Python 的后门(用于持久访问)以及 StealC 信息窃取器的变种。它主要针对 Chrome、Edge 和 Brave 浏览器中的浏览器数据、会话令牌,以及最重要的——加密货币钱包。 所有窃取的数据均通过不安全的HTTP流量被传输至两台命令与控制服务器。加密货币窃取工具的IOC证实,Steam是此类有组织盗窃行动的恶意软件传播载体。

背叛的信任

正是他们对证书的盲目信任和疏忽大意,导致了数十起被他们掩盖的盗窃案。这堪称教科书式的供应链攻击,大规模利用了平台信任漏洞。

入侵迹象(IOC)

文件SHA256分类
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

揭穿谎言:“账号被黑”纯属无稽之谈

掩盖真相被揭穿

Steam 撒谎并帮助受害者,而其公司则对开发者进行审核,并向其内容授予最高级别的信任认证。

让我们直截了当地指出Valve那套“开发者账号被黑”的借口本质是什么: 一个可悲且很容易被揭穿的谎言。 这无异于对用户智商的侮辱,是一种为了让他们免受自身疏忽所致后果的指责而编造的说辞。只要看看Steam自身的强制性流程,整个谎言便不攻自破。

“核心欺骗”:篡改数字犯罪现场

正是在这一点上,Valve的掩盖行为已从简单的疏忽升级为一种只能被描述为 篡改数字犯罪现场。 请明确说明这一点:Valve 并未下架这款受感染的游戏。

追踪该C2基础设施的安全研究人员提供的取证证据和分析结果明确证实:犯罪分子亲自从Steam服务器上删除了他们的恶意程序。他们是在9月21日,即其Telegram控制群组被公开曝光之后才采取这一行动的。他们实施了“焦土”式撤退,销毁证据以掩盖行踪。

篡改数字犯罪现场——PhishDestroy正用放大镜进行调查,而Steam/Valve的手却越过了“请勿越过”的警戒线
篡改数字犯罪现场——PhishDestroy正用放大镜进行调查,而Steam/Valve的手却越过了“请勿越过”的警戒线

Valve声称已采取行动,这纯属捏造。Valve等到攻击者销毁了自身行踪后才出手删除商店页面,实际上纵容了关键证据被销毁。这并非危机公关,而是妨碍司法。他们并非在保护用户,而是通过确保“犯罪现场”被清理干净来保护自己。

企业漠视所造成的人力成本

Valve 的疏忽导致了现实世界中的后果,但该公司对此却完全没有承担任何责任。

动机:利润至上,漠视人权

Valve 为何会允许这种情况发生?其动机既简单又冷酷: 它更便宜。

一次真正的安全体系大改造——对所有构建版本实施沙箱测试、分离开发者凭证、聘请一支专业的安全团队,并发布透明度报告——将耗资数百万。向受害者支付赔偿金将开创一个代价高昂的先例。

还有别的选择吗?发布一份含糊其辞、具有误导性的声明,让新闻热度逐渐消退,从而将公关负面影响降至最低。这是一项经过深思熟虑的商业决策,其中用户安全被视为可以接受的牺牲。

这种疏忽现象并非新鲜事。从PirateFi(2024年)到Chemia(2025年),Valve一再无视警告,放任恶意软件进入其平台,直到引发公众强烈抗议后才采取行动。BlockBlasters并非特例,而是腐朽的安全文化所导致的必然结果。

最终裁决:罪名成立

让事实自己说话。

Valve 不仅失职,还撒了谎。它掩盖了自己的疏忽,维护自己的利润,却让用户为此买单。社区对 Steam 的信任已遭到不可挽回的破坏。这并非一个错误,而是一种背叛。

在 Medium 上阅读完整调查报告

这是我们这项全面的多篇系列调查报道的节选。请阅读完整报告,其中包含更多证据、时间线和分析。

在 Medium 上继续阅读 →
返回新闻
#Steam#Valve#CryptoDrainer#Malware#GamingSecurity

相关调查

150多个假冒的Mozilla扩展:一个后端,一个网络
调查
150多个假冒的Mozilla扩展:一个后端,一个网络
$0 Takedowns: How We Disrupt Phishing Infrastructure
调查
$0 Takedowns: How We Disrupt Phishing Infrastructure
NameSilo、Webnic、NiceNIC:助长诈骗的域名注册商
调查
NameSilo、Webnic、NiceNIC:助长诈骗的域名注册商
透明度声明。 PhishDestroy 是一个非商业性的独立项目。我们的研究可能对诈骗基础设施及其相关服务存在固有的偏见。我们鼓励读者以批判性和独立的眼光评估所有内容。 阅读我们的完整透明度声明 →