一款 Steam 游戏被植入加密货币窃取程序，患者捐赠资金遭盗

近日，一名拉脱维亚癌症患者 Raivo Plavnieks（网名 rastaland）在直播筹款过程中，因下载并运行了一款名为 BlockBlasters 的 Steam 游戏，导致其加密钱包中超过 3.2 万美元的资金被清空。这笔款项原计划用于支付四期高级别肉瘤的治疗费用。

调查显示，该事件并非普通诈骗，而是一次有组织的恶意软件攻击——攻击者利用合法上架的游戏作为载体，在更新中植入加密货币窃取程序，专门针对公开讨论加密资产的用户进行精准钓鱼。

事件经过：从善意推荐到瞬间被盗

Raivo 是一位长期活跃于加密社区的内容创作者。今年早些时候确诊癌症后，他开始通过直播和 GoFundMe 页面筹集医疗资金。

在一次直播中，有人在聊天室推荐他试玩 BlockBlasters——一款发布在 Steam 上的免费像素风射击游戏。出于信任，Raivo 下载并启动了该游戏。

几分钟内，他的多个加密钱包（包括 MetaMask 和本地存储的钱包文件）被扫描并清空，总计损失约 32,500 美元，全部为支持者捐赠的善款。

值得注意的是，这次操作发生在直播画面中，使得整个盗窃过程被完整记录。

恶意代码分析：伪装成游戏的窃取工具

安全研究组织 VX Underground 对 BlockBlasters 进行逆向分析后发现：

• 游戏主程序包含一个隐藏的 Windows 批处理脚本（.bat 文件）；
• 该脚本会在后台搜索浏览器保存的登录凭证、Cookie 数据以及常见的加密钱包文件路径；
• 一旦找到目标文件，立即通过 HTTP 请求外传至远程服务器；
• 攻击具有明确指向性：主要针对 Chrome、Brave 浏览器中的 Web3 插件钱包。

研究人员指出：“这种行为没有任何合理解释，只能归类为恶意软件。”

更关键的是，这款游戏中毒是在 8 月 30 日的一次更新中加入的。在此之前，BlockBlasters 已上线数周，拥有数百条用户评价，整体评分为“非常正面”，具备高度欺骗性。

攻击模式：精准的社会工程钓鱼

据调查，攻击者可能采用以下策略：

1. 在社交媒体或直播平台识别频繁提及加密货币的用户；
2. 使用一次性账号进入直播间或私信发送“免费游戏推荐”；
3. 利用受害者对社区成员的信任诱导下载；
4. 恶意程序自动执行，完成窃取。

已有证据表明，此类攻击并非孤立事件。德国网络安全公司 GDATA 报告称，类似样本在过去几个月中持续出现，并估计全球可能已有 多达 907 名用户受害。

此外，相关线索指向一名居住在美国佛罗里达州迈阿密的阿根廷籍嫌疑人，目前已由社区提交给美国移民与海关执法局（ICE）跟进。

平台响应滞后：漏洞暴露审核机制缺陷

尽管 GDATA 在发现后第一时间向 Valve 报告了 BlockBlasters 的恶意行为，但该游戏仍继续在 Steam 商店上架至少 一周以上，期间未被下架或标记风险。

这再次引发对 Steam 内容审核机制的质疑：

• Steam 长期采用“开发者自主发布 + 用户反馈修正”的模式；
• 缺乏前置安全扫描机制，无法有效识别嵌入式脚本或混淆代码；
• 恶意更新难以实时监控，尤其当初始版本无害时。

事实上，这不是第一次有游戏携带窃取器上架。过去几年中，已有多起类似案例发生，涉及钱包窃取、键盘记录甚至勒索软件。

社区回应：损失被弥补，但问题仍在

事件曝光后，加密社区迅速做出反应：

• YouTuber 及主播 Mizkif 承诺捐赠五位数金额；
• 内容创作者 Easy (@EasyEatsBodega) 公开支持；
• Alex Becker 宣布全额补偿 Raivo 的损失，捐赠 3.25 万美元。

目前，Raivo 的治疗资金得以恢复，GoFundMe 页面也获得新一轮关注。

然而，这一结局依赖于“名人救援”，不具备可复制性。对于更多普通用户而言，这类威胁依然真实存在。

给用户的防范建议

• ❌ 不要轻易运行来源不明的应用程序 | 即使来自熟人或看似正规平台 |
• ✅ 启用钱包硬件隔离 | 使用 Ledger 或 Trezor 等离线设备管理资产 |
• 🔐 禁用浏览器自动填充功能 | 尤其是 MetaMask、Phantom 等插件 |
• 💻 定期清理本地钱包缓存文件 | 避免明文存储助记词或私钥 |
• 🛡️ 使用终端防护软件 | 如 Microsoft Defender、Malwarebytes，启用行为检测 |

此外，建议高价值数字资产持有者避免在直播环境中展示钱包操作。