近日，热门策略游戏《Slay the Spire》的扩展版本《Downfall》被黑客入侵。他们利用 Steam 更新系统向玩家推送了 Epsilon 信息窃取恶意软件。

开发者 Michael Mayhem 表示：被入侵的软件包是原游戏的预包装独立修改版，并非通过 Steam Workshop 安装的修改版。

最开始是其中一台设备被恶意软件非法入侵，当时正在运行的安全软件没能阻止它甚至都没有做出标记。但这并不是一个盗取密码的恶意软件，因为 2FA 并没有触发或阻止它，而且被入侵的账户都在不同的电子邮件地址下（这些地址本身都没有被盗）。

此外，攻击者还入侵了《Downfall》开发者之一的 Steam 和 Discord 账户，从而控制了该 MOD 的 Steam 账户。Michael Mayhem称此次事件更像是一种令牌劫持，黑客们专门劫持 Steam 并利用它上传，但目前这还只是猜测。

Mayhem 在周三（12月27日）发表的一份声明中告知用户称：此次安全漏洞允许恶意上传替换已打包的《Downfall》游戏。如果您确实在 12月25日的18:30-19:30时间段内曾打开了《Downfall》，并且该游戏向您弹出了 Unity 库安装程序，那么您的设备可能会出现安全风险。

该恶意软件会从设备中的网络浏览器（谷歌 Chrome、Yandex、Microsoft Edge、Mozilla Firefox、Brave、Vivaldi）以及 Steam 和 Discord 消息中收集 cookies 和保存的密码和信用卡信息。

同时，它还会查找文件名中包含 "密码 "的文件，并查找其他凭证，包括本地 Windows 登录和 Telegram等账户信息。

Epsilon恶意软件收集凭证(Any.run)

Mayhem 建议Downfall用户立即更改所有重要密码，尤其是未受2FA（双因素验证）保护的账户密码。

有用户报告称：该恶意软件会将自己作为 Windows 启动管理器应用程序安装在 AppData 文件夹中，或作为 UnityLibManager 安装在 /AppData/Roaming 文件夹中。

Epsilon Stealer 是一种通过 Telegram 和 Discord 向其他威胁行为者出售的信息窃取恶意软件。它通常用于以 Discord 上的游戏玩家为目标，以测试新游戏漏洞为幌子，诱骗他们安装恶意软件以换取报酬。

在安装游戏后，恶意软件还会在后台运行，窃取用户的密码、信用卡信息和身份验证 cookie。窃取的信息要么被威胁者用来入侵更多账户，要么在暗网市场上出售。

根据 VirusTotal 数据，这次攻击背后的威胁行为者的目标不只是Steam还可能瞄准了其他游戏和游戏开发商。

包含相同信息窃取恶意软件的其他文件（VirusTotal）

Steam加强安全

自 8 月底开始，越来越多被入侵的 Steamworks 账户被用来上传恶意游戏版本，使玩家感染恶意软件，因此今年 10 月，Valve 宣布现在要求游戏开发商在 Steam 默认发布分支上推送更新时进行基于短信的安全检查。

作为安全更新的一部分，任何在已发布应用程序的默认/公共分支上设置构建的 Steamworks 帐户都需要有一个与其帐户相关联的电话号码，这样 Steam 才能在继续之前给你发短信确认代码，任何需要添加新用户的 Steamworks 帐户都需如此。这一项规定已经于今年10月24日起正式生效。

参考链接：Game mod on Steam breached to push password-stealing malware (bleepingcomputer.com)