Steam Workshop 成恶意壁纸分发渠道:Wallpaper Engine 用户被植入后门与挖矿程序
作者 Mag-Info Tech editorial · 2026-06-17
Steam Workshop 成新型攻击载体:恶意壁纸已渗透主流自定义工具
Valve 的 Steam Workshop 近期被发现成为攻击者分发恶意内容的重要渠道。安全研究人员披露,攻击者正利用 Wallpaper Engine 这类热门桌面个性化应用,将恶意壁纸包上传至 Steam Workshop,并通过虚假描述诱导用户下载安装。该平台拥有近百万用户评价,本身具备强大的用户基础与传播能力,因此一旦被滥用,影响范围极为广泛。研究显示,恶意壁纸至少从 2025 年下半年开始在社区中传播,部分样本的下载量已达数万甚至数十万次,显示出攻击活动的规模与持续性。
Wallpaper Engine 支持四种壁纸类型:视频渲染、交互场景、网页播放器以及应用壁纸。其中,应用壁纸功能最为危险——它允许用户将任何 Windows 可执行程序(如小游戏、桌面小工具或系统监控工具)设置为桌面背景。研究人员指出,这一设计本身存在安全隐患,因为应用壁纸在安装后即可获得与普通应用相同的执行权限。攻击者正是利用这一特性,将恶意负载隐藏在看似正常的壁纸包中,用户一旦安装便立即触发恶意代码执行,进而感染系统。
恶意壁纸如何伪装与传播:从 NTRaholic 到 DarkKomet 家族
研究团队在分析中发现,攻击者普遍采用两种隐藏手法:一是直接将恶意文件打包进壁纸文件中;二是将恶意文件隐藏在加密压缩包内,并通过壁纸描述诱导用户输入密码解压。无论哪种方式,恶意代码都会在用户完成安装的瞬间自动运行。例如,一个伪装成名为“NTRaholic”的游戏壁纸在用户看来运行正常,实则在后台悄悄安装了 DarkKomet 家族的后门程序。此外,攻击者还会注入自定义系统库(如 AggregatorHost.dll)以搜索并窃取 Steam 账户信息,进一步扩大攻击收益。
这种攻击模式的高明之处在于利用了用户对“壁纸”这一日常功能的信任。由于 Wallpaper Engine 本身是一款合法的桌面美化工具,其 Steam 页面和用户评价均未显示异常,恶意壁纸得以在无明显警示的情况下获得大量下载。研究人员统计,已发现数十个此类恶意壁纸样本,每个样本的下载量从数千次到数万次不等,部分甚至超过十万次。这表明攻击者已形成规模化的恶意内容生产与传播机制,且社区审核机制未能及时识别并拦截这些威胁。
后果不只是窃号:后门、挖矿与系统长期控制
恶意壁纸的危害远不止于窃取 Steam 账号。根据研究报告,部分样本在安装后会立即释放挖矿程序,长期占用系统资源以获取加密货币收益。更严重的是,后门程序可能在用户毫不知情的情况下建立持久连接,允许攻击者远程控制受感染系统、窃取其他敏感数据或发起进一步攻击。例如,DarkKomet 家族的后门不仅能窃取 Steam 令牌,还能监视用户活动、记录键盘输入,甚至下载额外的恶意模块。
从技术角度看,后门程序通过注入自定义系统库来实现隐蔽运行。这种技术手法与传统的 DLL 劫持类似,通过替换或篡改合法系统组件,达到长期潜伏的目的。由于 Wallpaper Engine 的应用壁纸功能需要以管理员权限运行,恶意代码一旦被激活,即可获得与系统进程相同的权限级别,进一步加剧了清理与修复的难度。对于企业或个人用户而言,这意味着一次误操作可能导致整个系统沦陷,甚至成为攻击者发起横向移动攻击的跳板。
Steam 与 Wallpaper Engine 的安全责任:平台审核与用户教育缺口
此次事件暴露出 Steam Workshop 在内容审核与安全监控方面的明显短板。尽管 Steam 作为全球最大的数字发行平台,拥有完善的用户举报与内容审核机制,但针对应用壁纸这类新兴功能的特殊威胁,现有防护措施仍显滞后。研究人员指出,恶意壁纸能够长期存在并大量传播,说明平台的自动化扫描与人工审核在识别恶意可执行文件方面存在技术盲区。特别是对于加密压缩包或隐藏在合法壁纸包内的恶意代码,传统的基于签名或启发式的检测方法往往难以奏效。
从 Wallpaper Engine 开发者的角度来看,应用壁纸功能本身是一项创新设计,旨在为用户提供更丰富的桌面体验。然而,这一功能在安全设计上存在先天不足:它允许任意 Windows 可执行程序作为壁纸运行,且默认情况下不会对文件来源或权限进行额外限制。因此,开发团队需要重新评估功能的安全边界,例如限制应用壁纸的权限级别、强制执行代码签名验证、或在安装时弹出明确的安全警告。此外,平台方还应加强对 Steam Workshop 内容的实时监控,建立恶意内容的快速响应与下架机制。
MEFAI的AI带来真实成果。专业版立减50美元。
赞助内容 · 过往表现不代表未来结果。非财务建议。
用户如何自保:识别恶意壁纸与安全防护最佳实践
面对这种隐蔽性极高的攻击手法,用户需要提升自身的安全意识与防护能力。首先,在下载 Wallpaper Engine 壁纸时,应仔细检查发布者的信誉与评分。尽管恶意壁纸可能冒充知名开发者,但通过查看评论区的异常反馈(如用户投诉安装后系统变慢或出现安全软件警告),往往能发现蛛丝马迹。其次,避免下载包含加密压缩包或要求输入密码的壁纸,这类文件极有可能隐藏恶意负载。如果必须解压,建议在虚拟机或隔离环境中进行,以降低风险。
安装后,用户应立即使用安全软件进行全盘扫描,特别是针对系统库文件与启动项的异常变动。如果发现 AggregatorHost.dll 或其他不明系统库被篡改,应立即停止使用该壁纸并卸载相关应用。对于 Steam 账号,建议启用双重验证(2FA)并定期检查登录活动记录。此外,用户还可以通过 Windows 自带的“资源监视器”或第三方工具监控系统资源使用情况,及时发现挖矿程序的异常运行。长期来看,保持操作系统与安全软件的及时更新,是抵御此类攻击的基本前提。
企业与开发者应采取的技术防护措施
对于企业环境,恶意壁纸不仅威胁员工的工作设备,还可能成为攻击者进入内网的入口。因此,IT 管理员应在企业级防护策略中增加对 Steam Workshop 与 Wallpaper Engine 的监控。通过部署应用控制(如 Windows Defender Application Control 或第三方 EDR 解决方案),可以限制未经授权的可执行程序在系统中的运行。同时,建立网络流量监控机制,识别异常的外发连接或大量数据传输,有助于及时发现挖矿活动或数据窃取行为。
开发者在创建应用壁纸时,应遵循最小权限原则,避免在壁纸应用中集成过多的系统功能或网络访问权限。此外,建议在应用壁纸中嵌入安全检查机制,例如验证壁纸包内文件的完整性哈希,或在首次运行时提示用户确认权限请求。对于 Wallpaper Engine 平台,开发团队应与 Steam 合作,建立更严格的内容审核流程,例如对应用壁纸进行沙盒测试,确保其在隔离环境中无恶意行为后再允许发布。
未来趋势:恶意内容滥用合法平台将持续增加
安全研究人员警告,随着 Steam Workshop 等合法平台的功能不断扩展,攻击者滥用这些渠道传播恶意内容的趋势将持续上升。特别是那些支持用户生成内容(UGC)且用户基础庞大的平台,往往成为攻击者的首选目标。例如,此前已有案例显示,恶意插件通过 JetBrains Marketplace 窃取开发者的 AI API 密钥,类似的攻击模式正在向更多平台蔓延。
从长远来看,平台方与安全厂商需要建立更紧密的合作机制,通过技术手段(如机器学习驱动的异常检测)与人工审核相结合的方式,提升对恶意内容的识别与拦截能力。用户也应保持对新兴威胁的警惕,避免过度依赖平台的默认保护。只有通过技术、平台与用户三方的共同努力,才能有效遏制此类隐蔽性极高的攻击手法。
总结:及时清理、提高警惕,避免成为恶意壁纸的受害者
Steam Workshop 恶意壁纸事件为用户敲响了警钟:任何看似无害的功能都可能被攻击者利用,成为传播恶意软件的载体。对于 Wallpaper Engine 用户,当务之急是立即检查已安装的壁纸,特别是那些来自陌生发布者或包含异常文件的内容。如果发现系统异常,应立即卸载相关应用并进行全盘扫描。同时,养成良好的安全习惯——如定期备份重要数据、使用安全软件、避免下载来源不明的内容——将有助于降低类似风险。
对于平台方与开发者,此次事件凸显了在功能创新的同时,必须同步加强安全防护的重要性。通过完善审核机制、限制高风险功能的权限、以及与安全厂商合作,才能在保持用户体验的同时,构建更安全的生态环境。最终,无论是个人用户还是企业,只有保持警惕、及时更新防护策略,才能在数字化生活中远离潜在的安全威胁。
更多相关内容 网络安全与隐私
Rokarolla 新型 Android 木马:217款银行与加密应用沦为目标
Rokarolla 是一款新型 Android 木马,可窃取锁屏凭据、短信与联系人,并针对217款银行与加密应用投放假登录框。本文拆解其技术特征、传播路径与防护要点。
ClickFix 幕后的三大新型恶意软件装载器:BabaDeda、Lorem Ipsum 与 Potemkin
以 ClickFix 为幌子的恶意软件活动正在升级:BabaDeda、Lorem Ipsum、Potemkin 三大装载器利用伪装更新、隐藏 PowerShell 与 DLL 劫持手法,瞄准教育与金融行业。本文拆解新技术细节、影响范围与防护要点。
美国司法部首次依据《移除法案》没收AI深伪裸体网站域名
美国司法部首次依据《TAKE IT DOWN Act》没收CFAKE.com和SOCFAKE.com,这两个网站涉嫌传播未经同意的AI生成裸体深伪内容,执法行动涉及美意法三国执法机构。