Steam 上架唔等於安全:8 款遊戲被指暗藏惡意程式偷加密資產
Tech News

Steam 上架唔等於安全:8 款遊戲被指暗藏惡意程式偷加密資產

圖片:via TechCrunch — https://techcrunch.com/2026/07/17/fbi-arrests-man-accused-of-using-steam-games-to-drain-victims-crypto-wallets/
TechLab 編輯部(譯)·

FBI 指約 8,000 部裝置中招,曾經安裝涉事遊戲要即刻處理

上到 Steam,唔代表部機可以放心交畀佢

美國聯邦調查人員拘捕 21 歲學生 Zyaire Wilkins,指佢涉嫌參與一個用遊戲散播惡意程式、盜取加密資產嘅計劃。Wilkins 而家只係面對控罪,案件未有裁決。按 TechCrunch 引述刑事申訴,調查人員指涉案團隊喺 2024 年 5 月至 2026 年 2 月推出八款藏有惡意程式嘅遊戲,感染約 8,000 部裝置,未經授權進入約 80 個加密錢包,涉及損失至少 22 萬美元。呢三組數字都係 FBI 喺刑事申訴入面嘅指控,唔係法院已確認嘅事實。

FBI 點名嘅遊戲有邊幾款

FBI 西雅圖分部早前公開搵潛在受害者,表格列出 BlockBlasters、Chemia、Dashverse、DashFPS、Lampy、Lunara、PirateFi 同 Tokenova。當局話主要受影響時段係 2024 年 5 月至 2026 年 1 月;新一份刑事申訴所講嘅整體涉案時段就去到 2026 年 2 月。Dashverse 同 DashFPS 可能係同一作品用過嘅名稱,所以亦有報道將名單寫成七組遊戲。曾經安裝過先好當自己有風險,單純見過商店頁或者加過願望清單,唔等於部機已經中招。

惡意程式唔使即刻搬走啲幣

按刑事申訴指控,涉案團隊會喺 Discord、Telegram、X 同 LinkedIn 宣傳遊戲,亦涉嫌用 bot 尋找持有大量加密資產嘅目標,再叫對方下載。遊戲裝入 Windows PC 後,惡意程式可以抽走私人資料同登入憑證,涉案者再從中搵出可用嚟進入加密帳戶嘅資料。申訴亦提到 remote access trojan 同誘導受害者批准清空錢包嘅交易,不過各款遊戲出現過嘅版本、感染方法同載荷未必一樣,唔應當成八款都行完全相同嘅攻擊鏈。

點解「官方商店下載」仍然會出事

Steam 解決到來源不明下載網站嗰類風險,但佢始終係開放畀大量第三方開發者發行軟件嘅平台。遊戲本身亦係會執行程式碼、讀寫檔案同連上網嘅軟件,一旦惡意內容避過審查,或者喺上架後經更新加入,商店個名唔會變成安全保證。呢類攻擊特別有效,正正因為玩家平時會對 Steam 更新放低戒心;同一部機又可能長期登入電郵、交易所、社交帳戶,瀏覽器仲裝住錢包外掛,攻擊者一次過就有好多資料可以執。

裝過涉事遊戲,第一步係隔離部機

先中斷嗰部 Windows PC 嘅網上連線,移除涉事遊戲,但唔好以為 uninstall 完就乾淨。更新 Microsoft Defender 嘅安全情報,再跑 full scan 同 Microsoft Defender Offline;後者會重新啟動電腦,喺 Windows 未正常載入時掃描,較難畀常駐惡意程式匿埋。如果掃描持續搵到同一威脅、系統有不明帳戶或遙距控制跡象,較穩陣嘅做法係備份必要文件後重設或重裝 Windows。備份唔好連可疑執行檔、script 同遊戲資料夾一齊搬返落新系統。

密碼同 session 要喺乾淨裝置處理

用另一部可信裝置,先改主要電郵密碼,再處理 Steam、密碼管理器、交易所、雲端儲存同社交帳戶;每個帳戶用獨立密碼,開啟雙重認證。跟住去各服務嘅安全頁,登出其他裝置或撤銷現有 session、app password 同唔認得嘅授權。只改密碼未必夠,因為攻擊者若已經偷到 browser cookie,部分服務嘅舊 session 仍可能有效。亦要檢查電郵轉寄規則、復原電郵、復原電話同近期登入紀錄,有異常就保留截圖同時間資料。

錢包 seed phrase 有風險,就要換一個新錢包

如果涉事 PC 曾經存放、輸入或顯示過錢包 seed phrase、private key,應假設嗰組憑證已經外洩。用乾淨裝置建立一個由全新 seed phrase 產生嘅錢包,先核對收款地址,再轉走仍然控制到嘅資產;舊 seed phrase 衍生出嚟嘅其他地址亦要停用。MetaMask 官方提醒,懷疑錢包失守時,淨係改外掛密碼保護唔到已外洩嘅 seed phrase。如果已經有自動掃走資產嘅 bot,唔好貿然入金交 gas,應跟錢包供應商嘅專門指引處理。

保留證據,再向官方報告

FBI 嘅 Steam Malware 表格會問下載日期、Steam ID、接觸你嘅帳戶、損失金額、交易 hash 同收款地址。處理部機前,可以先用乾淨裝置記低遊戲名稱、安裝時間、可疑訊息、帳戶登入警告同鏈上交易,但唔好為咗截圖再次啟動可疑遊戲。暫時冇公開資料證實有香港受害者;不過 Steam 喺香港可用,Windows 玩家如果同機使用瀏覽器錢包或桌面錢包,面對嘅技術風險冇分地區。今次案件反映,就算經官方商店下載軟件,玩家都要做好裝置分隔,同時保護帳戶及錢包憑證。


參考來源

本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。

分享:WhatsAppThreadsTelegramFacebook