Wallpaper Engine 악성코드, Steam 워크숍을 납치해 암호화폐 지갑 데이터 탈취

출처: blockonomi2026/06/20 00:54

이 콘텐츠에 대한 피드백이나 질문이 있으시면 crypto.news@kcex.com으로 문의해 주세요

TLDR:

Kaspersky가 Steam에서 수천 건 설치된 수십 개의 악성 Wallpaper Engine 패키지를 식별했습니다.
Lumma 및 Vidar 정보 탈취 프로그램이 암호화폐 지갑 데이터와 브라우저 자격 증명을 수집하는 데 사용되었습니다.
악성코드는 비밀번호로 보호된 아카이브에 숨겨지거나 배경화면 다운로드에 직접 번들로 포함되었습니다.
FBI는 이전에 PirateFi 및 Tokenova를 포함한 여러 타이틀에서 Steam 배포 악성코드를 조사했습니다.

Wallpaper Engine 악성코드가 게임에서 가장 신뢰받는 콘텐츠 플랫폼 중 하나인 Steam 워크숍을 통해 확산되고 있습니다.

사이버 보안 회사 Kaspersky는 인기 있는 라이브 배경화면 애플리케이션을 통해 배포된 수십 개의 감염된 배경화면 패키지를 식별했습니다.

악성 파일은 Steam 자격 증명을 탈취하고 활성 세션을 가로채며 암호화폐 지갑 데이터를 노리는 정보 탈취 프로그램을 배포합니다.

많은 패키지가 발견되기 전에 수천 건의 다운로드를 기록했으며, 중국, 러시아, 싱가포르, 독일 및 기타 여러 국가에서 피해자가 보고되었습니다.

공격자가 신뢰받는 플랫폼을 무기화한 방법

Kaspersky의 보고서는 월요일 발표되었으며, 위협 행위자가 Steam 워크숍을 악용하여 애니메이션 데스크탑 배경화면으로 위장한 악성 Wallpaper Engine 패키지를 업로드했다고 밝혔습니다.

대부분은 애니메이션 스타일의 여성 캐릭터를 표지 이미지로 사용하여 게이머에게 신뢰할 수 있고 매력적인 외관을 제공했습니다.

플랫폼의 신뢰 요소는 악성코드에 잠재적 피해자에게 최소한의 마찰로 신뢰할 수 있는 유통 채널을 제공했습니다.

애플리케이션의 핵심 기능이 공격 벡터가 되었습니다. Wallpaper Engine은 실행 가능한 프로그램이 Windows 컴퓨터에서 직접 실행되도록 허용하며, 공격자는 이를 이용해 합법적인 콘텐츠로 위장하여 악성 페이로드를 배포했습니다.

Kaspersky는 Steam 워크숍을 통해 수십 개의 감염된 배경화면 패키지를 확인했으며, 많은 패키지가 수천 또는 수만 건의 다운로드에 도달했다고 밝혔습니다.

일부 배경화면은 다운로드 패키지 내에 직접 악성코드를 번들로 포함했습니다. 다른 배경화면은 설치 후 자동으로 압축이 풀리는 비밀번호로 보호된 아카이브 내에 페이로드를 숨겼습니다.

2025년 문서화된 한 사례에서는 배경화면이 기능하는 데스크탑 게임처럼 보이면서 백그라운드에서 비밀리에 DarkKomet 백도어를 설치하는 것을 보여주었습니다.

Kaspersky 연구원 Maxim Starodubov는 이러한 공격을 가능하게 하는 핵심 취약점에 대해 언급했습니다. "신뢰받는 플랫폼은 악성코드 배포에 악용될 수 있습니다. 공격은 사용자가 합법적인 생태계 내에서 호스팅되는 콘텐츠를 신뢰하는 데 의존합니다,"라고 Starodubov는 말했습니다.

"관련된 악성코드 패밀리 중 다수는 잘 알려져 있지만, 전달 메커니즘을 통해 공격자는 겉보기에 무해한 콘텐츠를 통해 많은 수의 잠재적 피해자에게 도달할 수 있습니다."

정보 탈취 프로그램, 암호화폐 도난, 그리고 증가하는 Steam 문제

식별된 가장 위험한 페이로드 중에는 RenEngine 로더와 함께 배포된 Lumma 및 Vidar 정보 탈취 프로그램이 있습니다.

이러한 악성코드 패밀리는 브라우저 자격 증명, 저장된 비밀번호 및 암호화폐 지갑 정보를 수집하는 잘 문서화된 도구입니다. Kaspersky는 또한 이 활동이 단일 조정 그룹이 아닌 여러 위협 행위자를 포함하는 것으로 보인다고 언급했습니다.

Steam 자격 증명 탈취도 확인된 또 다른 결과였습니다. 공격자는 활성 세션 토큰을 캡처하여 비밀번호 없이 계정에 접근할 수 있었습니다.

Kaspersky는 "애플리케이션 기반 배경화면 기능은 실행 가능한 프로그램이 사용자의 Windows 컴퓨터에서 직접 실행되도록 허용하여 공격자가 합법적인 콘텐츠로 위장해 악성 소프트웨어를 배포할 수 있게 합니다."라고 설명했습니다.

이 발견은 Steam 관련 악성코드 사건의 문서화된 패턴을 따릅니다. 2025년 7월, 사이버 보안 회사 Prodaft는 Steam 얼리 액세스 타이틀 Chemia가 Hijack Loader, Fickle Stealer 및 Vidar Stealer를 배포하기 위해 손상되었다고 보고했습니다.

이전에 FBI는 PirateFi, BlockBlasters 및 Tokenova를 포함한 여러 Steam 타이틀에서 발견된 악성코드에 대한 조사를 발표했습니다.

Kaspersky는 사용자에게 다운로드 수에 관계없이 워크숍 콘텐츠를 잠재적 위협 벡터로 취급하라고 조언했습니다. 높은 설치 수는 안전을 보장하지 않으며, 악성 패키지는 제거되기 전에 수만 건의 다운로드를 축적했기 때문입니다.

이 게시물은 Wallpaper Engine Malware Hijacks Steam Workshop to Steal Crypto Wallet Data에 처음 게재되었으며, 출처는 Blockonomi입니다.

면책 조항: 본 웹사이트에 재게시된 기사는 공개 플랫폼에서 제공된 자료이며 참고용으로만 제공됩니다. 해당 기사는 KCEX의 견해나 의견을 대변하지 않습니다. 모든 저작권은 원 저작자에게 있습니다. 재게시된 기사가 제3자의 권리를 침해한다고 판단되는 경우, 삭제를 위해 crypto.news@kcex.com으로 연락해 주시기 바랍니다. KCEX는 재게시된 기사의 적시성, 정확성 또는 완전성에 대해 어떠한 진술이나 보증도 하지 않으며, 해당 콘텐츠를 기반으로 한 어떠한 조치나 결정에 대해서도 책임을 지지 않습니다. 재게시된 자료는 정보 제공 목적으로만 제공되며, 상업적, 금융적, 법적 및/또는 세무상 결정에 대한 조언, 보증 또는 근거가 되지 않습니다.