目錄

• 你可能想知道
• 主要議題
• 重點洞見表
• 後續…

你可能想知道

看似無害、透過 Steam Workshop 發佈的動態桌布是否可能被用來載送會竊取認證與加密貨幣的惡意程式？使用者與平台營運者可以採取哪些步驟來降低風險？

主要議題

來自一家大型資安廠商的近期研究突顯了一個令人擔憂的趨勢：攻擊者利用 Steam Workshop 上 Wallpaper Engine 的內容，將惡意載荷偽裝成動態桌布散佈。Wallpaper Engine 允許可執行內容作為桌面體驗的一部分運行，威脅行為者利用此能力，將資訊竊取程式、會話劫持器與後門藏在許多使用者視為無害視覺強化的套件中。

觀察到的惡意套件包含以女性動漫角色為主打的桌布主題，這類主題可能會提高在特定 Steam 社群中的吸引力。使這些套件特別有效的是它們被放在一個受信任的平台內。Steam Workshop 是一個廣泛使用的生態系統，使用者期望看到社群創作內容。這種信任降低了懷疑，增加了許多使用者下載並執行內容的可能性。

技術分析揭示了數種散佈與持久化技術。有些桌布直接捆綁可執行的惡意程式；其他則把載荷隱藏在安裝後會自動解壓的密碼保護壓縮檔中。在一個已記錄的案例中，某個桌布在看似啟動合法桌面遊戲的同時同時安裝了後門。所傳送的惡意程式家族包括知名的資訊竊取器如 Lumma 與 Vidar，以及像 RenEngine 這類載入器和其他會外洩認證、瀏覽器儲存資料與加密貨幣錢包資訊的變種。

研究人員指出，該活動並非僅限於狹義目標。雖然大多數感染發現在中國與俄羅斯，但也在新加坡、香港、德國、越南、印度與加拿大有檢出。許多被感染的桌布套件累積了數千或數萬次下載，放大了每次惡意上傳的潛在影響。這類活動似乎涉及多個威脅行為者而非單一協調團體，顯示被濫用的傳遞管道本身——Steam 上受信任的社群內容——已成為廣泛被利用的載體。

其影響面向多元。對個別玩家而言，主要風險是認證被盜：被盜的 Steam 登入可被用來存取帳戶、購買記錄與儲存的付款方式；而瀏覽器資料與錢包資訊可導致直接的財務損失，尤其是加密貨幣。對整體生態系而言，濫用 Workshop 內容會侵蝕使用者對社群驅動發佈的信任並增加管理難度。平台營運者因此必須在開放性與社群創意與更強的管控措施之間取得平衡，以在大量使用者接觸之前偵測並移除惡意內容。

從防禦者角度來看，樣本間有幾項一致的技術指標。攻擊者常使用混淆與打包來隱藏惡意二進位檔，實作載入器以擷取後續階段，並依賴針對常見瀏覽器與錢包擴充功能的竊取認證程式。一旦執行，部分載荷會劫持現有會話以避免立即被偵測並在不需額外認證的情況下最大化存取權限。這些模式與已命名家族的已知行為一致——旨在快速外洩敏感資料並部署後續模組的行動。

預防與緩解需要多層措施。在使用者層面，對 Workshop 下載保持謹慎、檢查上傳者聲譽、閱讀留言與變更日誌，並用最新的防毒工具掃描下載內容可以降低風險。限制未受信任應用執行或隔離第三方可執行檔的作業系統與安全產品，可以限制惡意桌布造成的損害。對於加密貨幣持有者，使用硬體錢包與在專門、加固的環境中簽署交易，可降低外洩的瀏覽器錢包資料的價值。

對像 Steam 這類平台而言，此事件提出了若干可行改進。更嚴格的上傳套件自動掃描以偵測可疑行為、對可在使用者系統上執行代碼的內容採取更嚴格的執行政策，以及加強審查者培訓以發現異常指標，皆有助於防範。此外，對執行型桌布風險提供更明確的警告並推廣安全替代方案——例如非執行的動態桌布或經策選的社群集合——可以降低攻擊面。當惡意項目被移除時進行透明的通報也將有助於重建信任。

最後，資安社群的回應也很重要。協調的威脅情報共享——涵蓋檔案雜湊、妥協指標（IOC）與行為模式——能使防禦者更快偵測到類似活動。針對受影響區域與使用者群的公開警示與宣導活動可有助於減少進一步傳播。由於傳遞機制利用了合法的平台特性，偵測與回應不僅依賴惡意程式簽名，也仰賴理解軟體被分發與執行的情境。

簡言之，Steam Workshop 上的惡意桌布套件展示了對手如何將創意內容武器化以觸及廣大受眾。受信任的發佈通路、吸引人的視覺主題與可執行內容的結合，形成了一個針對認證與加密貨幣的強力載體。應對此威脅需要使用者、平台營運者與資安廠商共同採取行動：個人謹慎、更強的平臺管控，以及共享情報以破壞濫用社群生態系的行為者。

重點洞見表

後續...

展望未來，此事件凸顯出需要綜合方法：平台應強化內容執行政策並改善自動化檢測；使用者必須採取謹慎的下載習慣與防護措施；資安研究人員與廠商應即時共享指標與緩解建議。隨著社群驅動的分發通道持續成長，若利害關係人不採取行動來彌合創意自由與平台安全之間的缺口，類似濫用很可能持續。持續監控、使用者教育與技術控制將是防止未來活動將流行美學轉為有害攻擊面的關鍵。