Editorial mirrorBrand mentions redacted to public IDs. Hover to inspect. Everything else is theatre.How it works
THE ENABLERS REGISTRYRegistrar accountability archive
Archive LiveRead-only public record · No ads · No tracking
Case file folder with redacted documents and confidential investigation report.
CASE / ZH / STEAM NOT GOOD GUY

[REDACTED]《BlockBlasters》恶意软件:平台疏忽暴露无遗

The Enablers Registry·Editorial mirror·/zh/steam-not-good-guy

Public record copy. Brand names withheld, public accreditation numbers preserved. If the body below says “we”, that means the original publisher, not this mirror. TER only preserves, redacts, and re-contextualizes.

[REDACTED]“不是好人”调查

利润凌驾于玩家之上:《BlockBlasters》事件的掩盖([REDACTED]丑闻,第一部分)

我们将推出一项多篇连载的调查报道,揭露[REDACTED]背后的隐秘真相, 揭露其运营中的腐败行为、系统性的滥用、剥削和疏忽——这些行为已伤害了数百万用户,并揭露这家全球垄断企业如何将一个游戏平台变成了操纵用户和悄然牟利的机器。

《BlockBlasters》[REDACTED]调查——利润优先于玩家

关键发现

[REDACTED]公然撒谎、包庇罪犯并妨碍调查。

引言:一场蓄意疏忽的犯罪

2025年8月,全球最大的游戏平台[REDACTED]不仅遭遇了安全漏洞,甚至主动促成了这一漏洞的发生。由于一系列系统性故障和严重疏忽,Valve导致该游戏 BlockBlasters (AppID 3872350) 被用作一场破坏性极强的恶意软件攻击活动的木马程序。这并非一次复杂且难以防范的攻击,而是一次教科书式的窃取数据行动——之所以得逞,正是因为 [REDACTED] 的安全机制存在根本性缺陷。 在长达 22 天的时间里,该攻击窃取了数十万美元,清空了加密货币钱包,并入侵了用户账户,而 Valve 却对此置之不理。

当真相大白时,Valve的反应并非保护用户,而是维护自身形象。该公司发布了一份充满欺骗性的声明,将责任归咎于“遭入侵的开发者账户”——这不过是一个可悲的谎言,旨在推卸责任并逃避法律追责。本文将揭穿这一谎言。 我们将借助取证数据、时间线分析以及Valve自身的政策,证明此次事件不仅是失职,更是对刑事过失的蓄意掩盖。

企业疏忽时间线:第1天恶意软件发布,第3天出现首批报告,第3天收到多起预警,第10天仍未采取任何行动,1,489,500名受害者信息遭泄露,第22天终于被移除
企业疏忽时间线:第1天恶意软件发布,第3天出现首批报告,第3天收到多起预警,第10天仍未采取任何行动,1,489,500名受害者信息遭泄露,第22天终于被移除

身份曝光

[REDACTED]公然撒谎,并隐瞒了瓦伦丁·洛佩斯(Valentin Lopes)——这位恶意应用程序背后的已验证开发者。

22天的无所作为时间线

Valve 本有 22 天的时间来阻止此事。用户投诉纷至沓来,平台数据也显示出明显的异常迹象。他们的沉默是一种选择。

2025年7月31日

《BlockBlasters》正式上线。一个干净、合法的版本已通过 [REDACTED] 的审核流程。

2025年8月30日

陷阱已布好。攻击者推送了补丁版本 19799326。该更新包含恶意软件有效载荷,经 [REDACTED] 批准后分发给所有玩家。

2025年9月初

首批受害者拉响了警报。用户纷纷向 [REDACTED] 客服提交工单,报告 CPU 使用率异常、可疑的网络流量,以及 最关键的是 加密货币被盗。这些工单却石沉大海,被 Valve 置之不理。

2025年9月6日12日

数据发出了刺耳的警告。SteamDB的公开遥测数据显示,玩家数量已骤降至个位数,然而该游戏仍安装在数百台设备上,悄无声息地窃取数据。这种巨大的反差本应被任何有效的监控系统察觉,这无疑是一个危险信号。

2025年9月21日

社区采取行动。独立安全研究人员揭露了该恶意软件基于[REDACTED]的指挥与控制基础设施,迫使黑客不得不采取行动。

2025年9月22日

证据确凿。G [REDACTED] 发布了一份完整的取证报告,证实了该恶意软件的多阶段攻击路径,并披露了此次数据泄露事件的技术细节。

此次袭击的剖析

这并非什么尖端恶意软件。它只是由常见脚本和窃取工具粗糙却有效的组合而成,对于一个市值数十亿美元的平台来说,本应轻而易举就能检测出来。

第1阶段:初始入侵(game2.bat)

初始有效载荷是一个简单的批处理脚本,用于执行基础侦察:收集 IP 地址、地理位置以及 [REDACTED] 用户信息。随后,它下载了一个受密码保护的 ZIP 文件(v1.zip)——这是一种绕过简单自动扫描器的经典技巧。

第二阶段:规避与升级(VBS 加载器)

该恶意软件利用VBS脚本,在隐藏的命令窗口中执行其核心组件。它将自身所在的目录添加到了Microsoft Defender的排除列表中,这一操作本应在任何受监控的系统上立即触发高优先级的警报。

第三阶段:数据窃取(Client-built2.exe 和 Block1.exe)

在防御机制被禁用后,该恶意软件部署了其主要有效载荷:一个基于 Python 的后门(用于持久访问)以及 StealC 信息窃取器的变种。它主要针对 Chrome、Edge 和 Brave 浏览器中的浏览器数据、会话令牌,以及最重要的——加密货币钱包。 所有窃取的数据均通过不安全的HTTP流量被传输至两台命令与控制服务器。加密货币窃取工具的IOC证实,[REDACTED]是此类有组织盗窃行动的恶意软件传播载体。

背叛的信任

正是他们对证书的盲目信任和疏忽大意,导致了数十起被他们掩盖的盗窃案。这堪称教科书式的供应链攻击,大规模利用了平台信任漏洞。

入侵迹象(IOC)

文件SHA256分类
game2.bat aa1a1328e0d0042d071bca13ff9a13116d8f3cf77e6e9769293e2b144c9b73b3 BAT.Trojan-Stealer.StimBlaster.F
launch1.vbs c3404f768f436924e954e48d35c27a9d44c02b7a346096929a1b26a1693b20b3 Script.Malware.BatchRunner.A@IOC
test.vbs b2f84d595e8abf3b7aa744c737cacc2cc34c9afd6e7167e55369161bc5372a9b Script.Malware.BatchRunner.A@IOC
Client-built2.exe 17c3d4c216b2cde74b143bfc2f0c73279f2a007f627e3a764036baf272b4971a Win64.Backdoor.StimBlaster.L6WGC3
Block1.exe59f80ca5386ed29eda3efb01a92fa31fb7b73168e84456ac06f88fdb4cd82e9eWin32.Trojan-Stealer.StealC.RSZPXF

揭穿谎言:“账号被黑”纯属无稽之谈

掩盖真相被揭穿

[REDACTED] 撒谎并帮助受害者,而其公司则对开发者进行审核,并向其内容授予最高级别的信任认证。

让我们直截了当地指出Valve那套“开发者账号被黑”的借口本质是什么: 一个可悲且很容易被揭穿的谎言。 这无异于对用户智商的侮辱,是一种为了让他们免受自身疏忽所致后果的指责而编造的说辞。只要看看[REDACTED]自身的强制性流程,整个谎言便不攻自破。

  • “100美元门槛”与身份验证: 要在 [REDACTED] 上发布游戏,每位开发者都必须通过 [REDACTED] Direct 计划。这需要支付 100 美元的费用,并完成“了解你的客户”(KYC)流程,提供法定姓名、银行信息和税务文件。 肇事者并非匿名幽灵;Valve 手中掌握着其经过验证的身份和财务信息。这表明他们的不作为是一种有意识的选择,即为了保护一位经过验证的合作伙伴,而牺牲了自身用户的利益。
  • “22天停电”的迷思: Steamworks 为开发者提供了强大的工具来保障其账户安全。如果合法开发者失去了对账户的控制权,可以提交一份“发布商凭证访问权限丢失”的工单。该流程设计得非常快捷,能在数小时内(而非数周)冻结发布权限和构建版本。 所谓“开发者被锁定账户超过 20 天,而其游戏却在传播恶意软件”的说法是荒谬的。这暗示了两种可能的情况,而这两种情况都指责 Valve:要么是开发者沆瀣一气,要么是 Valve 不仅无视了开发者发出的数十份用户投诉,还无视了他们焦急求助的支持工单。
  • 对用户投诉的系统性忽视: 数十名用户提交了关于资金被盗、恶意软件活动以及账户遭入侵的详细报告。这些并非模糊的投诉,而是可采取行动的情报。 一个称职的支持系统本应在24小时内对这些情况发出预警,上报问题,并在调查期间冻结该应用页面。Valve在22天内未能采取这些措施,这绝非疏忽,而是蓄意视而不见的政策。

“核心欺骗”:篡改数字犯罪现场

正是在这一点上,Valve的掩盖行为已从简单的疏忽升级为一种只能被描述为 篡改数字犯罪现场。 请明确说明这一点:Valve 并未下架这款受感染的游戏。

追踪该C2基础设施的安全研究人员提供的取证证据和分析结果明确证实:犯罪分子亲自从[REDACTED]服务器上删除了他们的恶意程序。他们是在9月21日,即其[REDACTED]控制群组被公开曝光之后才采取这一行动的。他们实施了“焦土”式撤退,销毁证据以掩盖行踪。

篡改数字犯罪现场——THE ENABLERS REGISTRY正用放大镜进行调查,而[REDACTED]/Valve的手却越过了“请勿越过”的警戒线
篡改数字犯罪现场——THE ENABLERS REGISTRY正用放大镜进行调查,而[REDACTED]/Valve的手却越过了“请勿越过”的警戒线

Valve声称已采取行动,这纯属捏造。Valve等到攻击者销毁了自身行踪后才出手删除商店页面,实际上纵容了关键证据被销毁。这并非危机公关,而是妨碍司法。他们并非在保护用户,而是通过确保“犯罪现场”被清理干净来保护自己。

企业漠视所造成的人力成本

Valve 的疏忽导致了现实世界中的后果,但该公司对此却完全没有承担任何责任。

  • 财务破产: 被盗金额超过15万美元(看起来似乎超过100万美元)。对许多人来说,这笔钱足以改变他们的人生。一位主播在为癌症治疗进行的慈善直播中损失了3.2万美元。
  • 背信弃义: 数百名用户的账户遭到入侵,数据被盗,系统遭到感染。
  • 绝对的寂静: 时至今日,Valve 既未提供退款,也未给予补偿,更未作出真诚的道歉。他们那份千篇一律的回复,是对每一位受害者的侮辱。

动机:利润至上,漠视人权

Valve 为何会允许这种情况发生?其动机既简单又冷酷: 它更便宜。

一次真正的安全体系大改造——对所有构建版本实施沙箱测试、分离开发者凭证、聘请一支专业的安全团队,并发布透明度报告——将耗资数百万。向受害者支付赔偿金将开创一个代价高昂的先例。

还有别的选择吗?发布一份含糊其辞、具有误导性的声明,让新闻热度逐渐消退,从而将公关负面影响降至最低。这是一项经过深思熟虑的商业决策,其中用户安全被视为可以接受的牺牲。

这种疏忽现象并非新鲜事。从PirateFi(2024年)到Chemia(2025年),Valve一再无视警告,放任恶意软件进入其平台,直到引发公众强烈抗议后才采取行动。BlockBlasters并非特例,而是腐朽的安全文化所导致的必然结果。

最终裁决:罪名成立

让事实自己说话。

  • 事实: Valve 的自动化系统批准了一个包含微不足道恶意软件的构建版本。
  • 事实: Valve的支持团队在三周内一直无视受害者的直接警告。
  • 事实: 直到黑客自己删除了恶意文件后,Valve才采取行动。
  • 事实: Valve的官方声明是对事件的蓄意歪曲,旨在逃避责任。

Valve 不仅失职,还撒了谎。它掩盖了自己的疏忽,维护自己的利润,却让用户为此买单。社区对 [REDACTED] 的信任已遭到不可挽回的破坏。这并非一个错误,而是一种背叛。

Continue browsing the ledger

This page is the editorial mirror. Brand names are redacted to public IANA / business identifiers. Use the index to navigate other case files.

Open registrar ledger → All briefings