一个壁纸软件,怎么成了黑客的温床?
Wallpaper Engine(国内玩家昵称"小红车")是Steam上最受欢迎的桌面美化工具之一。它支持一种"应用程序壁纸"格式——本质上是可在Windows系统直接运行的可执行文件。普通壁纸是图片,但应用程序壁纸和软件没有区别,拥有对等的系统权限。
这个设计特征,成了黑客的天然藏毒载体。
2026年6月,卡巴斯基安全研究团队发布报告,披露了一场持续至少半年的恶意活动:多伙独立黑客将恶意程序伪装成壁纸安装包,上传到Steam创意工坊供用户下载。部分恶意壁纸在被下架前,下载量已达数万次。
攻击链条:从下载到账号被盗
攻击过程并不复杂,但极其有效:
- 用户从创意工坊下载并启动"应用程序壁纸"
- 恶意程序自动执行,植入DarkKomet后门家族木马
- 静默安装篡改的系统库文件,专门盗取Steam登录凭证并劫持在线会话
- 攻击者接管Steam账号,利用该账号上传更多带毒壁纸
- 形成"盗号→投毒→扩散→再盗号"的恶性循环
卡巴斯基在受污染文件中还检测到Lumma、Vidar信息窃取木马、加密货币挖矿程序、僵尸网络加载器以及多种勒索病毒。这意味着不止一伙黑客在利用这个渠道——"小红车"已经变成了赛博花柳病式的传播载体。
受害者画像:中国用户首当其冲
据统计,约89%的恶意下载访问源自中国地区IP,俄罗斯占5.5%,其余分布在新加坡、德国、越南、印度等地。受害者以追求桌面美化效果的玩家为主,部分壁纸利用热门动漫、游戏角色吸引下载。
官方回应:彻底移除应用程序类壁纸
6月26日,Wallpaper Engine官方宣布将在未来1-2周内彻底移除创意工坊内的应用程序类壁纸功能。用户需在一周内备份所需文件,功能移除后仍可在本地运行已有的应用程序壁纸。
这是一个迟来但必要的决定。问题根源在于:Steam创意工坊没有锁定更新功能,也没有针对创意工坊更新提供双重验证等安全机制。一个不受审查的可执行文件分发渠道,被滥用只是时间问题。
安全建议
- 近期从不知名创作者处下载过应用程序类壁纸的用户,立即进行全盘病毒查杀
- 修改Steam账号密码,启用Steam Guard双重验证
- 后续下载壁纸时优先选择口碑良好、有真实社区评价的创作者
- 避免下载"应用程序"类型的壁纸,选择视频壁纸或场景壁纸等安全格式
行业启示
这起事件再次证明,任何允许用户生成内容(UGC)执行代码的平台,都是潜在的供应链攻击面。创意工坊、插件市场、MOD社区——这些功能在提升用户体验的同时,也在无形中扩大了攻击面。平台方需要在功能开放与安全管控之间找到平衡,而不是等出了事再亡羊补牢。