Steam Workshop 被滥用来通过 Wallpaper Engine 应用传播恶意软件

威胁行为者正在滥用 Steam Workshop（Valve 用于下载游戏相关内容的社区中心）来推送隐藏在壁纸包中的各种恶意软件。

受感染的壁纸可能导致 Steam 账户被劫持、系统被植入后门，或运行加密货币挖矿进程。

Steam Workshop 是 Valve 的 Steam 游戏服务上内置的内容共享平台，用户可以在其中上传和下载由社区为游戏和应用程序创建的内容。

这些内容包括模组、地图、皮肤、存档文件、工具以及其他用户生成的内容，如壁纸。

壁纸中的恶意软件

在今天的报告中，网络安全公司 Kaspersky 的研究人员表示，这些攻击滥用了 Steam 上可用的桌面自定义应用程序 Wallpaper Engine，该应用拥有近百万条评论。

Wallpaper Engine 支持四种壁纸类型：渲染视频、交互式场景、可以播放音频和视频的网页，以及应用程序——即 Wallpaper Engine 设置为桌面背景的软件的活动窗口。

应用程序壁纸是可执行的 Windows 应用程序，可以包括游戏、桌面小部件和系统监控工具。Kaspersky 警告说，该功能代表了内置的安全风险，并且已被滥用来向 Steam 用户投递恶意软件。

据研究人员称，至少自 2025 年底以来，攻击者就利用了这一安全漏洞，将恶意壁纸文件上传到 Steam Workshop，并诱骗用户通过 Wallpaper Engine 安装它们。

Kaspersky 指出：“我们在 Steam Workshop 上发现了数十个此类恶意应用程序壁纸，每个壁纸都已被下载了数千次甚至数万次。”

对受感染壁纸的分析显示，恶意软件要么直接捆绑在包中，要么位于受密码保护的存档中，用户被诱骗打开这些存档。

研究人员表示，payload 在用户安装壁纸的那一刻会自动执行。

Kaspersky 测试了其中一个伪装成名为 NTRaholic 游戏的壁纸，该壁纸按预期启动以降低怀疑。然而，一个属于 DarkKomet 恶意软件家族的后门文件在后台被安装。

同时，还安装了一个名为 'AggregatorHost.dll' 的系统库的自定义版本，用于在计算机上搜索 Steam 账户并窃取账户凭证。

研究人员发现了多个涉及其他恶意软件家族的案例，例如 Lumma 和 Vidar 信息窃取程序、加密货币矿工、僵尸网络加载器、RanEngine 甚至勒索软件变种，表明 Wallpaper Engine 被多个威胁行为者滥用。

虽然 Steam 已识别并移除了 Kaspersky 发现的所有恶意壁纸应用程序，但研究人员警告说，威胁行为者很可能会提交新的恶意壁纸。

除了从可信来源下载内容外，Kaspersky 建议用户使用最新的防病毒产品扫描从 Steam Workshop 获取的任何内容。