卡巴斯基发布安全预警：Steam创意工坊遭滥用，伪装壁纸传播木马

2026年6月16日，卡巴斯基发布官方安全通告，警告近期有不法分子恶意滥用Steam平台创意工坊渠道，将恶意软件伪装成桌面壁纸资源进行传播，可直接导致用户设备被入侵，且存在极高的游戏账号被盗风险。

卡巴斯基安全研究人员发现一场处于活跃状态的持续性恶意软件投放攻击，该攻击主要利用 Steam 创意工坊以及热门动态壁纸软件《壁纸引擎》（Wallpaper Engine）的功能特性实施作案。

研究人员已识别出数十款被植入恶意代码的壁纸资源包，这些资源包的累计下载量已达数千次，部分热门样本下载量突破上万次。攻击者的核心目的是窃取游戏账号凭证，并在受害者设备中植入更多恶意程序，实现对设备的持久化控制。

Steam创意工坊是 Steam游戏平台内置的官方用户生成内容（UGC）社区功能，用户可通过该功能查找、安装和管理玩家自制内容，包括游戏模组、自定义地图、游戏道具以及壁纸等。《壁纸引擎》支持多种壁纸格式，涵盖视频、交互场景、网页以及应用程序类壁纸。

其中，应用程序类壁纸允许可执行程序直接在用户 Windows 电脑上运行，这一原生设计被黑客恶意利用，将恶意软件包装成看似正规的素材向外分发。卡巴斯基在创意工坊中排查出数十款受污染的壁纸包，其中多款具备较高的传播量级。

黑客主要采用两种投放方式：

1. 直接封装投放：将恶意可执行程序、动态链接库（DLL）或脚本文件伪装成壁纸组件，直接打包进壁纸资源包中，随壁纸安装同步释放触发。2. 加密压缩包藏匿：将恶意程序隐藏在加密压缩包内，并将解压密码写在压缩包名称或配置文件中，以此规避平台的静态文件安全检测。

用户安装壁纸后，恶意载荷会自动启动运行。例如，2025年12月查获的一款恶意壁纸样本在表面运行正常，会弹出内置桌面小游戏，看似毫无异常。但在后台，它会悄悄部署 DarkComet（DarkKomet）后门程序，并安装经过篡改的专用库文件，定向窃取Steam用户账号信息，同时劫持本地已登录的Steam会话，实现账号无感接管。

此类攻击很可能由多个独立运作、互不关联的黑客团伙分别实施，并非单一组织所为，涉及的恶意程序也不止一类。在多起案例中，卡巴斯基检测到恶意壁纸会分发 Lumma、Vidar 等信息窃取木马以及 RenEngine 加载器。目前卡巴斯基全系列安全产品已可有效识别并拦截本次攻击涉及的全部恶意程序。

为了应对帮助用户应对风险，卡巴斯基提出以下安全建议：

1. 下载任何软件或第三方创作内容时保持警惕，即便来源是可信平台，也不可放松风险意识。2. 安装玩家自制内容前，务必核实创作者的账号资质、历史作品口碑与素材的合规性，谨慎下载陌生作者发布的高权限内容。3. 使用成熟可靠的安全防护软件进行实时防护与定期查杀，并保持软件及病毒特征库持续更新。

目前卡巴斯基官网已发布有关该问题的详细安全研究报告，有兴趣的朋友可自行登录查阅。小编将在第一时间分享更多相关最新动态和爆料，敬请关注。