TLDR:
- حددت Kaspersky العشرات من حزم Wallpaper Engine الضارة التي تحتوي على آلاف التثبيتات على Steam.
- تم نشر برامج Lumma وVidar الخبيثة لسرقة بيانات محافظ العملات الرقمية وبيانات اعتماد المتصفح.
- تم إخفاء البرامج الضارة داخل أرشيفات محمية بكلمة مرور أو مرفقة مباشرة داخل تنزيلات الخلفيات.
- حقق مكتب التحقيقات الفيدرالي سابقًا في برامج ضارة موزعة عبر Steam عبر عناوين بما في ذلك PirateFi وTokenova.
ينتشر برنامج Wallpaper Engine الخبيث عبر Steam Workshop، أحد أكثر منصات المحتوى الموثوقة في الألعاب.
حددت شركة الأمن السيبراني Kaspersky العشرات من حزم الخلفيات المصابة الموزعة عبر تطبيق الخلفيات الحية الشهير.
تسرق الملفات الضارة بيانات اعتماد Steam، وتختطف الجلسات النشطة، وتنشر برامج سرقة المعلومات التي تستهدف بيانات محفظة العملات الرقمية.
حملت العديد من الحزم آلاف التنزيلات قبل اكتشافها، مع الإبلاغ عن ضحايا عبر الصين وروسيا وسنغافورة وألمانيا والعديد من البلدان الأخرى.
كيف سلح المهاجمون منصة موثوقة
تقرير Kaspersky، المنشور يوم الاثنين، كشف أن الجهات الفاعلة في التهديد استغلت Steam Workshop لتحميل حزم Wallpaper Engine ضارة متنكرة في شكل خلفيات سطح مكتب متحركة.
استخدمت معظمها شخصيات أنثوية بأسلوب الأنمي كصور غلاف، مما منحها مظهرًا موثوقًا وجذابًا للاعبين.
أعطى عامل الثقة في المنصة البرامج الضارة قناة توزيع موثوقة مع أقل احتكاك للضحايا المحتملين.
أصبحت الميزة الأساسية للتطبيق ناقل الهجوم. يسمح Wallpaper Engine للبرامج القابلة للتنفيذ بالعمل مباشرة على جهاز Windows، وهو ما استغله المهاجمون لنشر حمولات ضارة تحت مظهر محتوى شرعي.
أكدت Kaspersky أنها حددت العشرات من حزم الخلفيات المصابة المتاحة عبر Steam Workshop، حيث وصل العديد منها إلى آلاف أو حتى عشرات الآلاف من التنزيلات.
بعض الخلفيات ضمت برامج ضارة مباشرة داخل حزمة التنزيل. أخرى أخفت الحمولات داخل أرشيفات محمية بكلمة مرور تم فك ضغطها بصمت بعد التثبيت.
أظهرت حالة موثقة في عام 2025 خلفية تطلق ما يبدو أنها لعبة سطح مكتب وظيفية بينما تقوم سرًا بتثبيت باب خلفي DarkKomet في الخلفية.
تناول الباحث في Kaspersky، Maxim Starodubov، الثغرة الأساسية التي تمكن هذه الهجمات. "يمكن إساءة استخدام المنصات الموثوقة لتوزيع البرامج الضارة: تعتمد الهجمات على ثقة المستخدمين في المحتوى المستضاف داخل أنظمة بيئية شرعية،" قال Starodubov.
"بينما العديد من عائلات البرامج الضارة المعنية معروفة جيدًا، فإن آلية التسليم تمكن المهاجمين من الوصول إلى أعداد كبيرة من الضحايا المحتملين من خلال محتوى يبدو غير ضار."
برامج سرقة المعلومات، سرقة العملات الرقمية، ومشكلة Steam المتنامية
من بين أخطر الحمولات التي تم تحديدها برامج Lumma وVidar لسرقة المعلومات، الموزعة جنبًا إلى جنب مع محمل RenEngine.
هذه العائلات من البرامج الضارة هي أدوات موثقة جيدًا لجمع بيانات اعتماد المتصفح وكلمات المرور المحفوظة ومعلومات محفظة العملات الرقمية. لاحظت Kaspersky أيضًا أن النشاط بدا أنه يشمل جهات فاعلة متعددة في التهديد بدلاً من مجموعة منسقة واحدة.
اختطاف بيانات اعتماد Steam كان نتيجة مؤكدة أخرى. استولى المهاجمون على رموز الجلسة النشطة، مما سمح لهم بالوصول إلى الحسابات دون الحاجة إلى كلمة مرور.
شرحت Kaspersky أن "ميزة الخلفية القائمة على التطبيق تسمح للبرامج القابلة للتنفيذ بالعمل مباشرة على جهاز Windows الخاص بالمستخدم، مما يسمح للمهاجمين بتوزيع برامج ضارة تحت غطاء محتوى شرعي."
تتبع النتائج نمطًا موثقًا لحوادث البرامج الضارة المتعلقة بـ Steam. في يوليو 2025، أبلغت شركة الأمن السيبراني Prodaft أن عنوان Steam Early Access Chemia قد تم اختراقه لتوزيع Hijack Loader وFickle Stealer وVidar Stealer.
في وقت سابق، أعلن مكتب التحقيقات الفيدرالي عن تحقيقات في برامج ضارة وجدت عبر عدة عناوين Steam، بما في ذلك PirateFi وBlockBlasters وTokenova.
نصحت Kaspersky المستخدمين بمعاملة محتوى Workshop كنواقل تهديد محتملة بغض النظر عن أعداد التنزيلات. أرقام التثبيت العالية لا تؤكد السلامة، حيث تراكمت الحزم الضارة عشرات الآلاف من التنزيلات قبل الإزالة.
ظهرت المقالة برنامج Wallpaper Engine الخبيث يختطف Steam Workshop لسرقة بيانات محافظ العملات الرقمية أولاً على Blockonomi.