
Steam 上架唔等於安全:8 款遊戲被指暗藏惡意程式偷加密資產
FBI 指約 8,000 部裝置中招,曾經安裝涉事遊戲要即刻處理
上到 Steam,唔代表部機可以放心交畀佢
美國聯邦調查人員拘捕 21 歲學生 Zyaire Wilkins,指佢涉嫌參與一個用遊戲散播惡意程式、盜取加密資產嘅計劃。Wilkins 而家只係面對控罪,案件未有裁決。按 TechCrunch 引述刑事申訴,調查人員指涉案團隊喺 2024 年 5 月至 2026 年 2 月推出八款藏有惡意程式嘅遊戲,感染約 8,000 部裝置,未經授權進入約 80 個加密錢包,涉及損失至少 22 萬美元。呢三組數字都係 FBI 喺刑事申訴入面嘅指控,唔係法院已確認嘅事實。
FBI 點名嘅遊戲有邊幾款
FBI 西雅圖分部早前公開搵潛在受害者,表格列出 BlockBlasters、Chemia、Dashverse、DashFPS、Lampy、Lunara、PirateFi 同 Tokenova。當局話主要受影響時段係 2024 年 5 月至 2026 年 1 月;新一份刑事申訴所講嘅整體涉案時段就去到 2026 年 2 月。Dashverse 同 DashFPS 可能係同一作品用過嘅名稱,所以亦有報道將名單寫成七組遊戲。曾經安裝過先好當自己有風險,單純見過商店頁或者加過願望清單,唔等於部機已經中招。
惡意程式唔使即刻搬走啲幣
按刑事申訴指控,涉案團隊會喺 Discord、Telegram、X 同 LinkedIn 宣傳遊戲,亦涉嫌用 bot 尋找持有大量加密資產嘅目標,再叫對方下載。遊戲裝入 Windows PC 後,惡意程式可以抽走私人資料同登入憑證,涉案者再從中搵出可用嚟進入加密帳戶嘅資料。申訴亦提到 remote access trojan 同誘導受害者批准清空錢包嘅交易,不過各款遊戲出現過嘅版本、感染方法同載荷未必一樣,唔應當成八款都行完全相同嘅攻擊鏈。
點解「官方商店下載」仍然會出事
Steam 解決到來源不明下載網站嗰類風險,但佢始終係開放畀大量第三方開發者發行軟件嘅平台。遊戲本身亦係會執行程式碼、讀寫檔案同連上網嘅軟件,一旦惡意內容避過審查,或者喺上架後經更新加入,商店個名唔會變成安全保證。呢類攻擊特別有效,正正因為玩家平時會對 Steam 更新放低戒心;同一部機又可能長期登入電郵、交易所、社交帳戶,瀏覽器仲裝住錢包外掛,攻擊者一次過就有好多資料可以執。
裝過涉事遊戲,第一步係隔離部機
先中斷嗰部 Windows PC 嘅網上連線,移除涉事遊戲,但唔好以為 uninstall 完就乾淨。更新 Microsoft Defender 嘅安全情報,再跑 full scan 同 Microsoft Defender Offline;後者會重新啟動電腦,喺 Windows 未正常載入時掃描,較難畀常駐惡意程式匿埋。如果掃描持續搵到同一威脅、系統有不明帳戶或遙距控制跡象,較穩陣嘅做法係備份必要文件後重設或重裝 Windows。備份唔好連可疑執行檔、script 同遊戲資料夾一齊搬返落新系統。
密碼同 session 要喺乾淨裝置處理
用另一部可信裝置,先改主要電郵密碼,再處理 Steam、密碼管理器、交易所、雲端儲存同社交帳戶;每個帳戶用獨立密碼,開啟雙重認證。跟住去各服務嘅安全頁,登出其他裝置或撤銷現有 session、app password 同唔認得嘅授權。只改密碼未必夠,因為攻擊者若已經偷到 browser cookie,部分服務嘅舊 session 仍可能有效。亦要檢查電郵轉寄規則、復原電郵、復原電話同近期登入紀錄,有異常就保留截圖同時間資料。
錢包 seed phrase 有風險,就要換一個新錢包
如果涉事 PC 曾經存放、輸入或顯示過錢包 seed phrase、private key,應假設嗰組憑證已經外洩。用乾淨裝置建立一個由全新 seed phrase 產生嘅錢包,先核對收款地址,再轉走仍然控制到嘅資產;舊 seed phrase 衍生出嚟嘅其他地址亦要停用。MetaMask 官方提醒,懷疑錢包失守時,淨係改外掛密碼保護唔到已外洩嘅 seed phrase。如果已經有自動掃走資產嘅 bot,唔好貿然入金交 gas,應跟錢包供應商嘅專門指引處理。
保留證據,再向官方報告
FBI 嘅 Steam Malware 表格會問下載日期、Steam ID、接觸你嘅帳戶、損失金額、交易 hash 同收款地址。處理部機前,可以先用乾淨裝置記低遊戲名稱、安裝時間、可疑訊息、帳戶登入警告同鏈上交易,但唔好為咗截圖再次啟動可疑遊戲。暫時冇公開資料證實有香港受害者;不過 Steam 喺香港可用,Windows 玩家如果同機使用瀏覽器錢包或桌面錢包,面對嘅技術風險冇分地區。今次案件反映,就算經官方商店下載軟件,玩家都要做好裝置分隔,同時保護帳戶及錢包憑證。
參考來源
- TechCrunch — FBI arrests man accused of using Steam games to drain victims’ crypto wallets — original report
- FBI:Seeking Victim Information in Steam Malware Investigation — FBI 官方受害者表格,確認遊戲名單、主要受影響時段同提交資料方式。
- Local 10:Feds accuse Broward man in video game malware conspiracy — 引述 15 頁刑事申訴,補充約 8,000 部裝置、80 個錢包、22 萬美元損失同涉嫌運作方式。
- Microsoft:Troubleshoot problems with detecting and removing malware — Microsoft 官方惡意程式清理指引,解釋 Defender Offline 同重設或重裝系統嘅適用情況。
- MetaMask:I've been hacked or scammed — MetaMask 官方錢包失守應變指引,支持用新 seed phrase 建立錢包同轉移剩餘資產。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







