Десятки пакетов с вредоносными обоями Steam в Workshop успели набрать тысячи, а иногда и десятки тысяч загрузок, прежде чем их заметили исследователи. История неприятна не только для игроков: она показывает, как исполняемый пользовательский контент внутри крупной платформы превращается в удобный канал доставки стилеров, майнеров и бэкдоров.
Речь идет о Steam Workshop и приложении Wallpaper Engine, через которое пользователи ставят динамические обои, мини-виджеты и даже полноценные приложения на рабочий стол. Как пишет BleepingComputer, злоумышленники загружали в Workshop зараженные «обои-приложения», а затем маскировали вредоносную нагрузку под безобидный контент. Для русскоязычной IT-аудитории это еще один сигнал: если платформа разрешает исполняемый UGC-контент, вопрос модерации и песочницы быстро становится не «когда-нибудь потом», а «почему это до сих пор так устроено».
Исследование опубликовала Kaspersky 16 июня 2026 года. По данным компании, атаки шли как минимум с конца 2025-го. В центре схемы оказался один из режимов Wallpaper Engine: приложение поддерживает несколько типов обоев, включая видео, интерактивные сцены, веб-страницы и так называемые application wallpapers. Последний тип особенно интересен с точки зрения безопасности, потому что это фактически исполняемые Windows-приложения, которые Wallpaper Engine может выводить на рабочий стол как фон. Технически это удобно: можно запускать небольшие игры, системные мониторы или виджеты. Практически это означает, что пользователь привыкает считать «обои» декоративным контентом, хотя под капотом там может лежать обычный executable-файл.
Именно этот разрыв между ожиданием и реальностью злоумышленники и использовали. По данным Kaspersky, исследователи нашли десятки зараженных пакетов в Steam Workshop. Каждый из них уже собрал от нескольких тысяч до десятков тысяч скачиваний. В одних случаях вредоносный код лежал прямо внутри пакета, в других был спрятан в архиве с паролем, который пользователя уговаривали открыть вручную. Дальше все происходило довольно буднично: как только пользователь устанавливал такой пакет, нагрузка запускалась автоматически. Никакой особой магии, просто старый добрый social engineering, завернутый в удобный магазин сообщества.
Один из примеров, который разобрала Kaspersky, маскировался под игру NTRaholic. После запуска пользователь действительно видел то, что ожидал увидеть, и это важная деталь: подозрения снижаются, когда приманка работает хотя бы на базовом уровне. Но параллельно в системе устанавливался бэкдор из семейства DarkKomet. Кроме того, на компьютер попадала модифицированная библиотека AggregatorHost.dll, задачей которой был поиск Steam-аккаунтов и кража учетных данных. То есть речь не о банальном «шуме» ради хайпа, а о вполне рабочей цепочке монетизации: сначала угон аккаунта, потом продажа инвентаря, доступов или самой учетной записи.
На этом история не заканчивается. Исследователи также обнаружили пакеты с другими семействами вредоносов: Lumma и Vidar для кражи данных, криптомайнеры, загрузчики ботнетов, RanEngine и даже образцы вымогателей. Это важный штрих. Проблему, судя по набору семейств, использовала не одна узкая группа, а сразу несколько разных актеров с разными целями. Для защитников это почти всегда плохая новость: когда уязвимый механизм становится массово известным, он быстро превращается из «одной интересной техники» в устойчивый криминальный паттерн. А значит, после удаления уже найденных образцов поток новых публикаций, скорее всего, не остановится.
Valve, по данным BleepingComputer, удалила все вредоносные «обои-приложения», на которые указала Kaspersky. Но само по себе это не закрывает класс риска. Если платформа допускает распространение исполняемых сущностей под видом пользовательского контента, одних реактивных удалений мало. Нужно либо значительно усиливать модерацию, либо менять модель доверия: например, выделять такой контент в отдельную категорию с явным предупреждением, ужесточать автоматический анализ пакетов, ограничивать цепочки автостарта и не давать «обоям» слишком свободно работать с файловой системой и сетевыми запросами. Иначе получается знакомая по supply-chain атакам картина: инфраструктура формально работает по правилам, а злоумышленники используют нормальную функциональность как транспорт.
Для разработчиков и продуктовых команд тут несколько неприятно практичных выводов. Во-первых, пользователь не читает архитектурные нюансы продукта. Если интерфейс называет что-то «обоями», большинство будет относиться к этому как к картинке, а не как к приложению с правом исполнения. Во-вторых, любое UGC-хранилище с исполняемым кодом рано или поздно станет объектом злоупотребления, даже если продукт изначально делался для безобидных сценариев кастомизации. В-третьих, защита не должна опираться только на постфактум-модерацию и пользовательскую осторожность. Советы «скачивайте только у доверенных авторов» и «проверяйте антивирусом» полезны, но это уже последний рубеж, когда архитектурный риск давно материализовался.
Для бизнеса история тоже показательна. Игровые и consumer-платформы часто считают менее критичной средой, чем корпоративные маркетплейсы, CI/CD-репозитории или магазины расширений для разработчиков. На практике различие не такое уж большое: если у платформы есть массовая аудитория, доверие к интерфейсу и возможность доставить исполняемый объект, она становится частью общей цепочки поставки вредоносного ПО. Неважно, продаете вы моды, расширения, обои или внутренние плагины для аналитики. Вопрос всегда один и тот же: насколько честно продукт объясняет пользователю, что именно он запускает у себя на машине, и насколько жестко платформа проверяет этот путь.
Сейчас кейс с вредоносными обоями Steam выглядит как история про геймеров, Wallpaper Engine и не самую очевидную дыру в модели доверия. Но для индустрии это скорее предупреждение о следующем раунде атак через «безобидный» пользовательский контент, который на деле оказывается полноценным носителем кода. Если платформа хочет оставаться открытой для сообщества и при этом не стать раздатчиком стилеров, ей придется пересматривать не только правила модерации, но и саму границу между контентом и приложением. Подробнее об инциденте пишет BleepingComputer .
The post Через обои в Steam распространяли стилеры, майнеры и бэкдоры appeared first on iTech News.