В игре People Playground через Steam Workshop распространялся вредоносный мод

Неприятный инцидент произошёл с популярной песочницей People Playground от разработчика Studio Minus (mestiez). В Steam Workshop был загружен мод, замаскированный под улучшение производительности, который на деле оказался вредоносным ПО.

Этот случай служит очередным напоминанием о рисках, связанных с пользовательскими модификациями. Опасность ситуации усугубляется тем, что для рядового пользователя подобные угрозы практически невозможно выявить заранее. Во многих случаях заражение обнаруживалось слишком поздно — вредоносный мод приводил к безвозвратной утрате пользовательских данных. На данный момент подтверждено влияние на системы Windows; затронуты ли пользователи Linux при запуске игры через Proton, пока не установлено.

Что произошло

Как сообщил разработчик в официальном обращении (PSA) от 1 февраля, в Steam Workshop был обнаружен вредоносный мод под названием FPS++. В ответ на инцидент доступ к Workshop для People Playground был временно отключён. Спустя несколько дней команда выпустила обновление безопасности, устраняющее уязвимость, а 6 февраля Steam Workshop был вновь включён.

Подробное техническое описание последствий заражения разработчик опубликовал на форуме Steam. Ниже приведён фрагмент с перечислением действий вредоносного мода.

Проще говоря: в Workshop был загружен мод «FPS++», который оказался червём.

После запуска игры с активированным модом выполнялись следующие действия:

1. Скрытно ставил лайк и добавлял мод FPS++ в избранное.
2. Сканировал все опубликованные пользователем моды, незаметно редактировал и перезагружал их, менял описания (с вероятностью 50% добавлял слово «optimized»), теги, а также автоматически ставил лайки и добавлял в избранное.
3. Создавал и публиковал новый публичный мод от имени пользователя, копируя файлы, название, миниатюру и описание вредоносного мода.
4. Сбрасывал статистику Steam для игры (включая достижения), удалял конфигурации, схемы управления, статистику, кэш, карты, конструкции и пользовательские настройки.
5. Удалял JSON-файлы модов и очищал папки с модами.
6. Отключал все остальные моды, кроме самого себя и одного жёстко заданного имени.
7. Устанавливал лимит FPS на 10000 и отключал защиту от подозрительного кода.
8. Создавал иллюзию работы мода, искусственно умножая счётчик FPS.

Почти все данные — за исключением достижений — удалялись полностью и не подлежали восстановлению.

Не первый подобный случай

К сожалению, это далеко не единичный инцидент. Платформа Steam Workshop, несмотря на огромное количество качественного контента от сообщества, остаётся уязвимой для злоупотреблений.

• В 2022 году градостроительный симулятор Cities: Skylines столкнулся с проблемами вредоносных модов, о чём сообщалось в обсуждении на Reddit. Позже команда проекта выпустила разъяснение, указав на более широкий круг причин удаления модификаций.
• В 2024 году для Cities: Skylines II был подтверждён инцидент с атакой через DLL hijacking, о чём официально заявила компания Paradox Interactive.
• В декабре 2023 года разработчики модификации Downfall для Slay the Spire сообщили о компрометации проекта из-за взлома их аккаунтов Steam и Discord.

Кроме того, сама платформа Steam не раз становилась целью распространения вредоносного ПО непосредственно через игровые сборки. В ноябре 2023 года компания Valve объявила о дополнительных мерах защиты публикации билдов, включая подтверждение через SMS.