卡巴斯基表示，攻击者正利用 Steam 创意工坊的壁纸内容分发恶意软件。由于这类“应用型壁纸”可以直接在 Windows 电脑上运行可执行程序，用户安装看似正常的内容时，可能同时下载窃密程序。

　　 发现数十个受感染壁纸包

　　 卡巴斯基称，研究人员已识别出数十个带有恶意代码的壁纸包。相关样本涉及 Lumma 和 Vidar 两类常见窃密木马，以及 RenEngine 加载器。

　　 这些恶意程序通常用于窃取账号凭证、浏览器数据和加密钱包信息。研究人员判断，这轮活动不像单一团伙所为，更像是多个攻击者同时利用相似手法投放恶意内容。

　　 主要受害者在和俄罗斯

　　 按卡巴斯基披露，受害者主要分布在和俄罗斯，此外新加坡、香港、德国、越南、印度和加拿大也出现感染案例。

　　 公司称，恶意壁纸包的投放方式并不相同：有的直接捆绑木马，有的则把恶意文件藏在加密压缩包中，待安装后再自动释放。

　　 借合法平台提高传播效率

　　 卡巴斯基提到，2025 年曾出现过类似案例：某款壁纸在表面上会启动一款正常桌面游戏，但后台会秘密安装 DarkKomet 后门程序。

　　 研究人员表示，这类攻击依赖用户对正规平台生态的信任。攻击者不必伪装成独立下载站，只需把恶意内容包装成普通创意工坊资源，就能接触到大量潜在受害者。

　　 今年 7 月，网络安全公司 Prodaft 也曾披露，Steam 抢先体验游戏 Chemia 被入侵后，被用于传播 Hijack Loader、Fickle Stealer 和 Vidar Stealer，目标同样包括加密钱包和用户数据。更早前的 3 月，美国联邦调查局宣布调查多款通过 Steam 游戏传播的恶意软件，涉及 Chemia、PirateFi、BlockBlasters、Dashverse、DashFPS、Lampy、Lunara 和 Tokenova。