
Steam 上架照樣可藏毒:美國男子涉嫌用惡意遊戲偷走 22 萬美元加密貨幣
FBI 公開涉事遊戲名單,裝過嘅玩家要由電腦、網上帳戶到加密貨幣錢包逐樣檢查
Steam 商店個「安裝」掣,心理上始終可靠過論壇入面一條來歷不明嘅下載連結。不過美國聯邦當局最新一宗案件再次提醒玩家:遊戲過到商店上架程序,唔等於入面每次更新都絕對安全。尤其免費、細規模或者測試中嘅 PC 遊戲,一樣可以俾人當成散播惡意程式嘅入口。
美國執法人員拘捕咗佛羅里達州 21 歲男子 Zyaire Wilkins,指控佢出資取得惡意程式、協助宣傳藏毒遊戲,同同黨偷取加密貨幣。案件而家只去到刑事指控階段,Wilkins 未經定罪,下文提到嘅感染數量、錢包數目同損失金額,都係執法當局喺刑事投訴書入面提出嘅指控。
法院冇直接寫 Steam,點解會拉上關係?
刑事投訴書只形容遊戲經一間「大型數碼發行軟件公司」派發,冇直接講出 Steam。當局就指控,涉案團伙喺 2024 年 5 月至 2026 年 2 月推出八款藏有惡意程式嘅遊戲,感染約 8,000 部裝置,未經授權進入大約 80 個加密貨幣錢包,偷走最少 22 萬美元資產。
Steam 呢條線來自另一份官方資料。FBI 西雅圖分部較早前公開「Steam Malware Investigation」受害者表格,列出嘅遊戲同法院文件提到嘅 BlockBlasters、Dashverse、Lunara、PirateFi 等名稱重疊。加上 Valve 總部位於華盛頓州貝爾維尤,案件亦由西雅圖聯邦法院處理,所以多間媒體先會交叉判斷投訴書所指嘅平台係 Steam。呢個關聯有相當證據支持,但唔應寫成法院已經正式確認。
FBI 點名邊幾款遊戲?
FBI 公開列出 BlockBlasters、Chemia、Dashverse/DashFPS、Lampy、Lunara、PirateFi 同 Tokenova。官方將 Dashverse/DashFPS 一齊列出,而投訴書講八款遊戲,兩份資料嘅計法未完全一致;穩陣做法係兩個名稱都查。FBI 相信主要受影響時段係 2024 年 5 月至 2026 年 1 月,裝過或者執行過任何一款,都應該當部機可能受影響。
呢批遊戲亦唔一定由第一日開始就有毒。BleepingComputer 引述資安研究指,BlockBlasters 初期版本未見惡意元件,到 2025 年 8 月 30 日先經更新加入 crypto drainer。研究人員喺相關樣本發現收集 Steam 登入資料同 IP 地址嘅批次程式,另外仲有 Python backdoor 同 StealC 資料竊取程式。即係話,早期評價、商店頁面同「已驗證」狀態,都未必反映之後更新落嚟嘅程式碼。
偷錢之前,先偷走你部機入面嘅鎖匙
按刑事投訴書嘅指控,同黨會用 bot 尋找持有大量加密貨幣嘅目標,再經 Discord、Telegram、X、LinkedIn 等平台引佢哋下載遊戲。程式執行後,攻擊者取得私人資料同憑證,再從中找出可登入加密貨幣帳戶嘅資料;當局亦指佢哋討論過誘騙受害者批准一筆即時清空錢包嘅交易。
呢類 infostealer 麻煩在於,風險唔會停喺 Steam 密碼。瀏覽器儲存嘅登入資料、cookies、session token,以至裝喺瀏覽器入面嘅錢包資料,都可能成為目標。密碼改咗但舊 session 仲有效,攻擊者有機會繼續留喺帳戶;錢包 seed phrase 或私鑰一旦外洩,改錢包 app 密碼亦救唔返,因為對方已經攞到控制資產所需嘅鎖匙。
裝過涉事遊戲,處理次序要啱
第一步係停止執行遊戲,再斷開網上連線,記低遊戲名、安裝時間、Steam 購買或下載紀錄,同可疑 Discord、Telegram 訊息,之後移除遊戲。保留紀錄係方便向 FBI 或相關平台舉報,唔代表要留住可疑程式繼續開。FBI 有官方受害者表格,亦提供 [email protected] 收集線索。
跟住更新 Windows 同 Microsoft Defender 嘅保安資料,再跑完整掃描。Microsoft 官方建議,擔心裝置接觸過惡意程式時可用 Microsoft Defender Offline scan;電腦會重啟到 Windows Recovery Environment 掃描,令常駐惡意程式難啲隱藏。掃描同清理完成前,唔好喺同一部可疑電腦輸入新密碼或者建立新錢包。若掃描持續報毒、惡意程式清完又返嚟,應搵可信電腦保安人員處理,嚴重時要考慮乾淨重裝 Windows。
確認有一部乾淨裝置後,先重設 Steam、電郵、Discord、Telegram、交易所、銀行同其他曾喺該瀏覽器登入嘅帳戶密碼;重用過同一密碼嘅帳戶亦要換。之後檢查登入裝置,登出所有現有 session,再重新登入可信裝置,再開啟雙重認證。處理次序最好由主要電郵開始,因為電郵通常可以重設其他帳戶。
如果可疑電腦曾經存放錢包 seed phrase、私鑰,或者裝有瀏覽器錢包,就應按錢包供應商指引,在乾淨裝置建立一個用全新 seed phrase 嘅錢包,將尚餘資產轉走,停止使用舊錢包。MetaMask 明確提醒,若懷疑有自動掃走資產嘅 bot,唔好貿然入金支付 gas,應先跟官方救援指引。最後逐條鏈用可信 block explorer 檢查交易紀錄、token approval 同 DeFi 倉位;鏈上交易通常無法撤回,有異常就盡快通知交易所、錢包供應商同執法部門。
Steam 商店提供分發渠道,唔係安全保證書
今次值得記住嘅位,係攻擊者利用咗玩家對商店上架同遊戲更新嘅信任。BlockBlasters 據報初期版本正常,惡意元件後來先加進更新,證明一次上架檢查好難包辦產品往後每個版本。Valve 當然要交代惡意更新點樣過關、收到報告後幾快處理;玩家自己亦唔應隨便關閉防毒、為遊戲資料夾加掃描豁免,特別係有人私訊邀請試玩,又刻意針對有加密貨幣資產嘅帳戶。
呢宗案唔代表 Steam 遊戲普遍有毒,但裝過名單內遊戲嘅玩家,最好即刻按裝置、帳戶、錢包三層逐樣查。刪走遊戲只清理眼前個檔案,早已外洩嘅憑證同 seed phrase 唔會跟住自動失效。
參考來源
- The Verge — Florida man arrested for allegedly stealing over $200,000 in crypto using Steam game malware — original report
- Seeking Victim Information in Steam Malware Investigation — FBI 官方受害者公告,確認調查時段、Steam 關聯、涉事遊戲名單同聯絡方法。
- Feds accuse Broward man in video game malware conspiracy; victims lost $220K in crypto — 引述 15 頁刑事投訴書,交代約 8,000 部裝置、80 個錢包、22 萬美元損失同涉嫌招攬受害者方式。
- Verified Steam game steals streamer's cancer treatment donations — 整理 BlockBlasters 樣本分析、惡意更新時間、Steam 登入資料收集、backdoor 同 StealC 發現。
- Virus and Threat Protection in the Windows Security App — Microsoft 官方說明完整掃描、Defender Offline scan 嘅用途同操作環境。
- I've been hacked or scammed (unauthorized transactions on my account) — MetaMask 官方受感染錢包處理指引,包括建立全新錢包、轉移剩餘資產同停用舊 seed phrase。
- See devices with account access — Google 官方解釋點樣檢查登入裝置同撤銷可疑 session。
本文根據原文及公開資料整理;資料有出入時,以原文及官方資料為準。







