近日，门游热门策略游戏《Slay the Spire》的戏遭需警险扩展版本《Downfall》被黑客入侵
。他们利用 Steam 更新系统向玩家推送了 Epsilon 信息窃取恶意软件。破解

开发者 Michael Mayhem 表示 ：被入侵的惕安软件包是原游戏的预包装独立修改版 ，并非通过 Steam Workshop 安装的全风修改版 。

最开始是门游其中一台设备被恶意软件非法入侵 ，当时正在运行的戏遭需警险安全软件没能阻止它甚至都没有做出标记。但这并不是破解一个盗取密码的恶意软件，云计算因为 2FA 并没有触发或阻止它，惕安而且被入侵的全风账户都在不同的电子邮件地址下（这些地址本身都没有被盗）。

此外，门游攻击者还入侵了《Downfall》开发者之一的戏遭需警险 Steam 和 Discord 账户，从而控制了该 MOD 的破解 Steam 账户。Michael Mayhem称此次事件更像是惕安一种令牌劫持，黑客们专门劫持 Steam 并利用它上传，全风但目前这还只是猜测。

Mayhem 在周三（12月27日）发表的一份声明中告知用户称 ：此次安全漏洞允许恶意上传替换已打包的模板下载《Downfall》游戏。如果您确实在 12月25日的18:30-19:30时间段内曾打开了《Downfall》，并且该游戏向您弹出了 Unity 库安装程序，那么您的设备可能会出现安全风险 。

该恶意软件会从设备中的网络浏览器（谷歌 Chrome、Yandex、Microsoft Edge、Mozilla Firefox  、Brave、Vivaldi）以及 Steam 和 Discord 消息中收集 cookies 和保存的密码和信用卡信息 。

同时，它还会查找文件名中包含 "密码 "的高防服务器文件 ，并查找其他凭证，包括本地 Windows 登录和 Telegram等账户信息 。

Epsilon恶意软件收集凭证(Any.run)

Mayhem 建议Downfall用户立即更改所有重要密码 ，尤其是未受2FA（双因素验证）保护的账户密码。

有用户报告称：该恶意软件会将自己作为 Windows 启动管理器应用程序安装在 AppData 文件夹中 ，或作为 UnityLibManager 安装在 /AppData/Roaming 文件夹中。

Epsilon Stealer 是一种通过 Telegram 和 Discord 向其他威胁行为者出售的信息窃取恶意软件。它通常用于以 Discord 上的游戏玩家为目标 ，以测试新游戏漏洞为幌子，诱骗他们安装恶意软件以换取报酬 。建站模板

在安装游戏后，恶意软件还会在后台运行，窃取用户的密码 、信用卡信息和身份验证 cookie 。窃取的信息要么被威胁者用来入侵更多账户，要么在暗网市场上出售 。

根据 VirusTotal 数据 ，这次攻击背后的威胁行为者的目标不只是Steam还可能瞄准了其他游戏和游戏开发商。

包含相同信息窃取恶意软件的其他文件（VirusTotal）

自 8 月底开始，越来越多被入侵的香港云服务器 Steamworks 账户被用来上传恶意游戏版本 ，使玩家感染恶意软件，因此今年 10 月，Valve 宣布现在要求游戏开发商在 Steam 默认发布分支上推送更新时进行基于短信的安全检查 。

作为安全更新的一部分，任何在已发布应用程序的默认/公共分支上设置构建的 Steamworks 帐户都需要有一个与其帐户相关联的电话号码，这样 Steam 才能在继续之前给你发短信确认代码，任何需要添加新用户的 Steamworks 帐户都需如此 。这一项规定已经于今年10月24日起正式生效 。