《Wallpaper Engine》分享功能遭駭客利用卡巴斯基揭Steam工作坊數十款惡意桌布

3284ac87-d2a9-4e5f-9071-333613af1865

資安公司 Kaspersky（卡巴斯基） 6 月 16 日公布研究報告指出，駭客自 2025 年底起持續利用 Steam 熱門動態桌布軟體《Wallpaper Engine》（俗稱小紅車）散布惡意程式。

駭客透過 Steam 工作坊上傳植入木馬的桌布作品誘使玩家下載安裝，進而竊取 Steam 帳號、植入後門程式，甚至可能進一步部署勒索軟體或加密貨幣挖礦程式。

根據卡巴斯基調查，《Wallpaper Engine》攻擊主要鎖定中國與俄羅斯玩家，但新加坡、香港、德國、越南、印度與加拿大等地也已出現受害案例，其中多個遭感染的桌布作品在工作坊累積數千甚至數萬次下載，顯示影響範圍相當廣泛。

偽裝成工作坊內容的惡意軟體多為 2D 紳士遊戲（黃油）。Steam 工作坊（Workshop）是 Steam 內建的社群創作平台，允許玩家分享模組、地圖、遊戲物件與桌布內容，《Wallpaper Engine》則支援多類型桌布，包括影片、互動場景、網頁以及「應用程式」桌布。

最具資安風險的正是應用程式桌布，這類桌布可直接在 Windows 系統執行的獨立程式，常被製作成桌面遊戲、行事曆或系統監控工具等各類桌面小工具。

卡巴斯基指出，駭客利用 App 桌布的設計特性，將惡意程式偽裝成桌布內容（特別是廣大紳士喜歡的黃油）上傳至 Steam Workshop，由於任何人都能免費發布與分享作品，導致平台成為惡意內容散播的理想管道。

研究人員分析顯示，攻擊者主要透過兩種方式散布惡意程式：

只要玩家安裝並套用桌布，惡意程式便可能在背景自動啟動。

dozens-of-malicious-wallpapers19-740x405

卡巴斯基以 2025 年 12 月發現的一款黃油《NTRaholic》（牛頭人狂熱）為例，表面上是可正常運作的遊戲，玩家啟動後不會察覺任何異常，遊戲能夠順利執行、操作也完全正常，但背景中系統已經開始遭受感染。

該桌布會在作業系統植入名為 Synaptics.exe 的後門程式，屬於 DarkKomet 惡意程式家族，同時啟動名為「._cache_GAME1.exe」的模組。

dozens-of-malicious-wallpapers18-740x416

惡意模組除了負責啟動桌布內建遊戲《NTRaholic》，還會偷偷安裝遭修改的系統函式庫 AggregatorHost.dll，主要目的則是搜尋使用者電腦的 Steam 程式，竊取帳號憑證資訊並接管目前登入中的 Steam 工作階段。

dozens-of-malicious-wallpapers20

一旦成功綁架玩家帳號，蒐集到的資料便會傳送至駭客控制的遠端伺服器，讓攻擊者取得受害者帳號控制權。之後駭客可能利用遭入侵的 Steam 帳號，繼續上傳更多惡意桌布內容到 Steam Workshop，形成擴散循環。

dozens-of-malicious-wallpapers21-684x280

卡巴斯基表示《Wallpaper Engine》感染事件並非單一駭客組織所為，從樣本分析結果來看，攻擊者使用的工具與惡意程式種類十分多樣，顯示有多個獨立駭客團體利用相同手法進行攻擊。

研究人員還發現 Lumma 資訊竊取木馬、Vidar 資訊竊取木馬、RenEngine 載入器、加密貨幣挖礦程式、機器人網路載入器（Botnet Loader）、勒索軟體相關元件。

研究數據顯示，約 89% 的惡意下載行為發生在中國，其次為俄羅斯（5.5%），其餘則分布於新加坡（1.4%）、香港（0.9%）、德國（0.9%）、越南（0.9%）、印度（0.5%）與加拿大（0.5%）。

圖源：卡巴斯基，下同卡巴斯基表示，在研究報告公開前，Steam 團隊已將研究人員發現的惡意桌布與相關連結下架清除，然而新的感染樣本持續出現在 Steam 工作坊，提醒玩家不應完全依賴平台審核機制。

卡巴斯基資安專家 Maxim Starodubov 表示，此次涉及的許多惡意程式家族本身並非新型威脅，但透過 Steam 工作坊與《Wallpaper Engine》等熱門平台作為傳播媒介，還是能大幅提高感染機率，建議玩家採取以下措施：

《Wallpaper Engine》在 Steam 累積近百萬則「壓倒性好評」、每日活躍用戶約達 10 萬人，自 2018 年上架至今曾不只一次爆發資安事件，再次凸顯即便玩家普遍信任的大型平台與熱門工具，也可能成為駭客利用的攻擊管道。

《Wallpaper Engine》分享功能遭駭客利用 卡巴斯基揭Steam工作坊數十款惡意桌布