Steam在不知情下,於其遊戲平台分發了一款能竊取加密貨幣的惡意程式,超過一個月後才在安全研究人員公開曝光後將其下架。這款惡意程式偽裝成名為「Block Blasters」的遊戲,讓盜竊者至少偷取了價值$150,000的數字資產,受害者毫無防備。
重點須知:
- Steam上架了一款含有惡意程式的假遊戲,暗地針對用戶加密貨幣錢包運作,長達一個多月
- 事件至被加密貨幣調查人員揭發前,起碼有$150,000的數字資產被盜
- 一名末期癌症病人損失$32,000,加速揭發了更大規模的盜竊行動
重大安全漏洞揭示平台弱點
Steam未能及時發現上述惡意程式,成為全球最大數碼遊戲分發平台之一的重大安全失誤。假遊戲於商店上架長達一個月都未被移除,用戶下載安裝「Block Blasters」時,完全不察覺系統已運行惡意程式。
該惡意程式專門針對感染電腦中儲存的加密貨幣錢包,有調查人員相信實際被盜資產遠超確認的$150,000。
用戶以為自己只是在玩普通遊戲,殊不知程式已在後台默默進行盜竊。
Steam只是在加密貨幣調查人員ZachXBT於社交平台公開披露此事後,才將該虛假遊戲下架。他的帖文直接點名Steam安全團隊,要求立即處理相關惡意程式。遊戲公司在輿論壓力下迅速回應,將該遊戲自平台移除。
調查揭示AI生成犯罪程式碼
安全研究人員分析該惡意程式時,發現其中包含人工智能創作的證據,程式碼內有典型AI生成軟件的規律特徵。
這一發現令調查人員能拼湊出黑客的技術手法與能力。
調查起因是一名末期癌症病人被騙去$32,000。當研究人員質詢黑客時,對方對傷害弱勢毫無悔意,還聲稱病人會靠活躍炒幣「賺回來」。
黑客這冷血回應更激發調查人員全力追究。
經過追蹤,他們識別出該犯罪集團,並將其行動曝光予加密貨幣社群。黑客本身技術一般,大半靠AI工具建立其盜竊基建。
儘管黑客缺乏高深編程知識,他們依然成功繞過Steam的安全機制。惡意程式於平台的自動檢查系統下潛伏數星期,直至社區調查人員介入才揭發問題。
認識加密貨幣惡意程式運作
加密貨幣惡意程式在數字資產生態日益常見,這些程式通常針對錢包軟件、私鑰或種子字詞等資訊,一旦區塊鏈交易確認就無法撤銷。
惡意程式常以合法軟件、遊戲或工具作掩護,透過應用程式商店、遊戲平台及直接下載等各種渠道散播。
Steam作為受信任的平台,自然成為罪犯理想的投放渠道。
「Block Blasters」事件證明罪犯會濫用信譽良好平台觸及更大受眾,遊戲平台以內容質素為主,很少專注惡意程式檢驗,讓騙徒得以把竊盜工具藏於表面無害的應用程式中。
結語
Steam無意間主辦竊取加密貨幣的惡意程式,顯示數碼分發平台仍有重大安全漏洞。即使平台具一定防護措施,這宗$150,000的竊案仍可持續超過一個月,令人質疑對用戶內容的審查機制是否足夠。