Steam"小红车"创意工坊沦为投毒渠道,89%受害者为中国用户

2026年6月27日 · 行业动态

一个壁纸软件,怎么成了黑客的温床?

Wallpaper Engine(国内玩家昵称"小红车")是Steam上最受欢迎的桌面美化工具之一。它支持一种"应用程序壁纸"格式——本质上是可在Windows系统直接运行的可执行文件。普通壁纸是图片,但应用程序壁纸和软件没有区别,拥有对等的系统权限。

这个设计特征,成了黑客的天然藏毒载体。

2026年6月,卡巴斯基安全研究团队发布报告,披露了一场持续至少半年的恶意活动:多伙独立黑客将恶意程序伪装成壁纸安装包,上传到Steam创意工坊供用户下载。部分恶意壁纸在被下架前,下载量已达数万次。

攻击链条:从下载到账号被盗

攻击过程并不复杂,但极其有效:

  1. 用户从创意工坊下载并启动"应用程序壁纸"
  2. 恶意程序自动执行,植入DarkKomet后门家族木马
  3. 静默安装篡改的系统库文件,专门盗取Steam登录凭证并劫持在线会话
  4. 攻击者接管Steam账号,利用该账号上传更多带毒壁纸
  5. 形成"盗号→投毒→扩散→再盗号"的恶性循环

卡巴斯基在受污染文件中还检测到Lumma、Vidar信息窃取木马、加密货币挖矿程序、僵尸网络加载器以及多种勒索病毒。这意味着不止一伙黑客在利用这个渠道——"小红车"已经变成了赛博花柳病式的传播载体

受害者画像:中国用户首当其冲

据统计,约89%的恶意下载访问源自中国地区IP,俄罗斯占5.5%,其余分布在新加坡、德国、越南、印度等地。受害者以追求桌面美化效果的玩家为主,部分壁纸利用热门动漫、游戏角色吸引下载。

官方回应:彻底移除应用程序类壁纸

6月26日,Wallpaper Engine官方宣布将在未来1-2周内彻底移除创意工坊内的应用程序类壁纸功能。用户需在一周内备份所需文件,功能移除后仍可在本地运行已有的应用程序壁纸。

这是一个迟来但必要的决定。问题根源在于:Steam创意工坊没有锁定更新功能,也没有针对创意工坊更新提供双重验证等安全机制。一个不受审查的可执行文件分发渠道,被滥用只是时间问题。

安全建议

行业启示

这起事件再次证明,任何允许用户生成内容(UGC)执行代码的平台,都是潜在的供应链攻击面。创意工坊、插件市场、MOD社区——这些功能在提升用户体验的同时,也在无形中扩大了攻击面。平台方需要在功能开放与安全管控之间找到平衡,而不是等出了事再亡羊补牢。

← 返回文章列表