FBI警示Steam平台七款遊戲含惡意軟體 更新未全下架玩家需提高警覺

美國聯邦調查局西雅圖分局近日緊急發出警告，揭露Steam數位遊戲平台現有七款遊戲的後續更新中夾帶惡意軟體，包括《BlockBlasters》《Chemia》《Lampy》《Lunara》《PirateFi》《Tokenova》與《Dashverse / Dash FPS》。該事件顯示攻擊者利用開發者帳號漏洞，在遊戲更新時植入竊取加密貨幣的程式，已導致數百名用戶資產遭盜取，損失金額估計逾百萬美元。儘管Steam官方於2023年升級安全認證機制，強化開發者帳號驗證流程，但攻擊者仍透過魚叉式釣魚郵件誘騙開發者點擊惡意連結，直接取得上傳權限推送惡意更新。目前《PirateFi》與《BlockBlasters》雖已下架，但因更新檔已傳播至用戶端，造成無法輓回的資安事件，而《Lampy》等遊戲仍在架上，玩家若未審慎檢查開發者信譽，恐將無意間下載惡意程式。

惡意軟體手法揭露 漏洞根源在開發者流程

FBI調查指出，攻擊者針對Steam平台「自由上架」的特性，鎖定獨立開發者為目標。這些開發者多為中小型團隊，帳號安全管理較弱，攻擊者透過偽造Steam官方支援郵件，聲稱「需更新開發者證書」，誘導其點擊連結後竊取帳號憑證。隨後，攻擊者以合法開發者身份上傳含惡意程式碼的更新檔，利用遊戲自動更新機制隱蔽植入。例如《Lampy》遊戲去年11月發布更新時，程式碼中藏有竊取加密貨幣錢包金鑰的模組，用戶啟動遊戲即被監控。FBI分析顯示，此手法已運作逾18個月，攻擊者甚至建立「惡意更新託管平台」，透過多層代理伺服器隱藏IP，使平台難以追蹤。更關鍵的是，Steam的「開發者自檢機制」僅針對首次上傳檔案掃描，對後續更新缺乏實時監控，導致系統性漏洞長期未被修補。安全專家指出，此事件暴露數位平台在「信任開發者」與「安全防護」間的平衡失衡，需重新審視審核流程。

玩家應對策略 資安防護需雙管齊下

針對此風險，玩家應立即採取三項關鍵措施。首先，審查遊戲開發者背景：點擊遊戲頁面「開發者」連結，確認其是否有其他遊戲上架、評價是否正面，並避開新創開發者發布的免費遊戲。FBI強調，此次事件中《Lampy》的開發者帳號僅註冊3個月，且無其他作品，屬高風險標的。其次，調整Steam更新設定：進入「設定」→「下載」→「更新」，將「自動更新」改為「啟動遊戲時才更新」，避免在後台靜默下載惡意更新。此外，建議啟用第三方安全軟體如Malwarebytes進行深度掃描，特別針對加密貨幣相關程式碼（如「wallet.js」或「crypto-miner」等關鍵字）。Steam官方也承諾將於Q3推出「更新檔AI驗證系統」，透過機器學習分析更新檔行為模式，但短期內仍需用戶自行防護。安全公司CrowdStrike分析指出，2023年Steam平台惡意更新事件年增37%，此事件凸顯免費遊戲生態的脆弱性，玩家須建立「驗證開發者」與「限制自動更新」的雙重習慣。

平台責任與產業反思 資安機制亟待革新

此次事件迫使Steam重新評估其「海納百川」的上架政策。過去Steam因審核寬鬆助益獨立開發者，但FBI報告揭露，此模式同時為攻擊者創造「低風險入侵路徑」。目前Steam已啟動「開發者強制雙重驗證」計劃，要求所有上傳者使用手機驗證碼，並對免費遊戲增加「首次更新額外審查」。然而，產業觀察家指出，單一平台難以解決系統性問題，需建立跨平台協作機制。歐盟《數位服務法》已要求平台對高風險內容實時監控，而美國聯邦貿易委員會（FTC）正考慮對未落實安全措施的平台開罰。專家呼籲，開發者教育同樣重要，平台應提供免費安全培訓課程，教導團隊防範釣魚攻擊。FBI西雅圖分局官員強調：「資安不是技術問題，而是信任管理。」未來遊戲平台需在「開放生態」與「用戶安全」間取得平衡，否則將引發更大規模的資產竊取事件。玩家也應養成定期檢查遊戲更新歷史的習慣，避免因貪圖免費遊戲而暴露個人資產。