牛满近期，备受欢迎的策略游戏《Slay the Spire》的扩展包《Downfall》遭到黑客入侵。这些黑客成功地通过Steam更新系统传播了一种名为Epsilon的恶意软件，影响到了众多游戏玩家。游戏的开发者Michael Mayhem表示，受入侵影响的软件包实际上是原游戏的经过修改的独立预装版，而不是通过Steam Workshop安装的修改版。

　　最初的事件始于一台设备遭受了恶意软件的非法入侵，令人担忧的是，当时正在运行的安全软件未能阻止这一入侵，甚至没有发出任何警告。然而，值得注意的是，这并不是一种典型的密码盗取恶意软件，因为它没有触发或绕过两因素认证（2FA），而且受害账户使用的是不同的电子邮件地址（这些电子邮件地址本身没有受到侵害）。除此之外，攻击者还成功侵入了《Downfall》的其中一位开发者的Steam和Discord账户，从而控制了该MOD的Steam账户。Michael Mayhem表示，这次事件更像是一种令牌劫持，黑客似乎专门攻陷了Steam账户，并利用它来上传恶意内容，尽管目前这仅仅是一种猜测。

　　Mayhem在周三（12月27日）发布的一份声明中通知用户，这个安全漏洞允许黑客上传并替换了已经打包好的《Downfall》游戏。如果您在12月25日的18:30至19:30之间打开过《Downfall》，并且游戏弹出了Unity库的安装提示，那么您的设备可能存在安全风险。

　　这恶意软件将从设备上的多种网络浏览器（如谷歌 Chrome、Yandex、Microsoft Edge、Mozilla Firefox、Brave、Vivaldi），以及Steam和Discord消息中，获取Cookie、保存的密码和信用卡信息。同时，它还会搜索文件名中包含密码的文件，并搜寻其他凭证，包括本地Windows登录和Telegram等账户的信息。

　　Mayhem强烈建议Downfall的用户立即更改所有重要密码，特别是那些没有启用双因素验证（2FA）的账户密码。一些用户报告称，这恶意软件会安装自己作为Windows启动管理器应用程序在AppData文件夹中，或者作为UnityLibManager安装在/AppData/Roaming文件夹中。

　　Epsilon Stealer是一种信息窃取恶意软件，威胁行为者通过Telegram和Discord向其他黑客出售它。通常，它以游戏玩家为目标，通过宣称测试新游戏漏洞来诱骗他们安装恶意软件以获取报酬。一旦用户安装了游戏，这个恶意软件会在后台运行，窃取他们的密码、信用卡信息和身份验证cookie。这些窃取的信息可能被黑客用于入侵更多账户，或在暗网市场上进行出售。根据VirusTotal的数据，这次攻击的威胁行为者可能不仅针对Steam，还可能瞄准了其他游戏和游戏开发商。

　　从8月底开始，越来越多的Steamworks账户遭到入侵，黑客使用这些账户上传恶意游戏版本，将恶意软件传播给玩家。因此，今年10月，Valve宣布要求游戏开发商在Steam默认发布分支上推送更新时进行基于短信的安全检查。作为安全更新的一部分，任何在已发布应用程序的默认/公共分支上设置构建的Steamworks帐户都需要关联一个电话号码，这样Steam才会在继续之前向用户发送确认代码的短信。这一规定已于今年10月24日正式生效。