Специалисты «Лаборатории Касперского» обнаружили в Steam Workshop десятки вредоносных модификаций для Wallpaper Engine, которые использовались для кражи учетных записей и заражения компьютеров пользователей. После публикации отчета Valve уже удалила выявленные файлы, однако эксперты предупреждают, что подобные угрозы могут появиться вновь.
Wallpaper Engine позволяет устанавливать на рабочий стол не только анимированные обои, но и так называемые «обои-приложения», представляющие собой полноценные исполняемые программы. Именно эту возможность начали использовать злоумышленники, маскируя вредоносный код под небольшие игры, утилиты и другие безобидные на первый взгляд проекты.
По данным исследователей, опасные файлы распространялись двумя способами. В одних случаях вредоносные библиотеки и исполняемые файлы поставлялись вместе с обоями в обычном архиве, в других — скрывались в защищенных паролем пакетах, запуск которых осуществлялся через специальные скрипты или требовал действий самого пользователя.
Особое внимание эксперты уделили образцу, обнаруженному в конце 2025 года. Он устанавливал бэкдор DarkKomet и модифицированную библиотеку AggregatorHost.dll, способную находить активный процесс Steam и перехватывать пользовательские веб-сессии. Полученные данные отправлялись на сервер злоумышленников, открывая путь к захвату игровых аккаунтов. В отдельных случаях заражение также сопровождалось установкой майнеров или программ-вымогателей.
Согласно статистике, подобная активность фиксируется как минимум с августа 2025 года. Большинство попыток загрузки вредоносных файлов пришлось на Китай — около 89% от общего числа. На втором месте оказалась Россия с долей 5,5%.
Случай стал очередным напоминанием о том, что угрозы могут скрываться даже в пользовательском контенте крупных платформ. Несмотря на оперативное удаление опасных файлов, пользователям Wallpaper Engine рекомендуют внимательно проверять загружаемые проекты, особенно если они требуют запуска сторонних приложений или содержат исполняемые файлы.