卡巴斯基安全实验室(Securelist)6月16日发布研究报告,披露自2025年底起有人持续在 Steam 平台的 Wallpaper Engine 工坊发布恶意壁纸,已发现数十款感染样本,每款下载量均达数千至数万次,目前 Steam 团队已将已确认的恶意壁纸从平台清除。攻击者利用的是 Wallpaper Engine"应用程序型壁纸"功能——此类壁纸本质上是可独立运行的 Windows 程序,攻击者在其中内嵌恶意代码,用户安装后载荷自动静默执行,完全不影响壁纸的正常显示。已发现的主要载荷包括 DarkKomet 后门、Lumma 与 Vidar 信息窃取程序、RenEngine 加载器,以及勒索软件和加密货币挖矿程序;以一款伪装成桌面小游戏的样本为例,壁纸运行后会在后台释放 Synaptics.exe(DarkKomet 家族),同时替换系统 DLL AggregatorHost.dll 来劫持用户的活跃 Steam 会话,随后将账户凭证回传至攻击者服务器,并利用被盗账号继续上传更多恶意壁纸。
受害者地理分布方面,卡巴斯基系统拦截的恶意下载请求中,89% 来自中国,俄罗斯以5.5%排名第二,此后依次是新加坡(1.4%)、香港(0.9%)、德国(0.9%)和越南(0.9%)。壁纸的美术风格和标题均针对中国玩家定制,研究人员据此判断目前主要针对中国用户,但认为攻击者随时可将同类手法复制到其他地区。由于在用的恶意工具高度分散,研究人员推断并非单一黑客组织所为,而是多个独立团伙同时利用相同渠道传播。卡巴斯基建议在应用任何 Wallpaper Engine 工坊壁纸前先进行杀毒扫描,不应完全依赖平台审核机制。