اكتشف باحثو كاسبرسكي حملة نشطة لنشر برمجيات خبيثة عبر Steam Workshop وتطبيق Wallpaper Engine، أحد أكثر التطبيقات شعبية على منصة Steam لتصميم وتبادل خلفيات سطح المكتب المتحركة.
وقد عثر الباحثون على عدد من حزم الخلفيات المصابة التي جرى تحميلها آلاف المرات. واستهدفت الحملة بصورة أساسية مستخدمي Steam في كل من الصين وروسيا، كما طالت مستخدمين في سنغافورة، وهونغ كونغ، وألمانيا، وفيتنام، والهند، وكندا. وكان هدف المهاجمين الأساسي من خلال هذه الحملة هو الاستيلاء على حسابات اللاعبين ونشر برمجيات خبيثة إضافية.
تُعدّ Steam Workshop منصة داخلية مدمجة في Steam تُمكّن المستخدمين من الوصول بسهولة إلى المحتوى الذي ينتجه الآخرون وإضافته إلى ألعابهم أو أجهزتهم، مثل عناصر الألعاب والتعديلات الخاصة بالألعاب، والخرائط المخصصة، وخلفيات سطح المكتب. ويتميز تطبيق Wallpaper Engine بدعمه أنواعاً متعددة من الخلفيات، بما في ذلك مقاطع الفيديو، والمشاهد التفاعلية، وصفحات الويب، والتطبيقات المختلفة.
وتسمح خاصية الخلفيات القائمة على التطبيقات بتشغيل ملفات تنفيذية مباشرة على حواسيب المستخدمين العاملة بنظام ويندوز، وهو ما يمكن أن يستغله المهاجمون لنشر برمجيات خبيثة متخفيةً في صورة محتوى آمن. وقد كشف باحثو كاسبرسكي عن عشرات من حزم الخلفيات المخترقة المنشورة عبر Steam Workshop، حيث حصد عدد كبير منها آلاف التنزيلات، ووصل بعضها إلى عشرات الآلاف.
استخدم القراصنة أسلوبين أساسيين لنشر البرمجيات الخبيثة. ففي بعض الحالات، كانوا يرفقون ملفات تنفيذية خبيثة، وملفات DLL، ونصوص برمجية داخل حزمة الخلفية نفسها، وفي حالات أخرى، جرى إخفاء البرمجيات الخبيثة داخل أرشيفات محمية بكلمة مرور، مع وضع كلمات المرور في أسماء الأرشيفات أو داخل ملفات التهيئة. وبمجرد تثبيت الخلفية، كانت البرمجيات الخبيثة تعمل بشكل تلقائي دون تدخل المستخدم.
على سبيل المثال، ظهر أحد نماذج الخلفيات الخبيثة المكتشفة في ديسمبر 2025 وكأنه تطبيق آمن في الوهلة الأولى، حيث قام بتشغيل لعبة سطح مكتب مدمجة دون أي مؤشرات مرئية للاختراق. غير أن الخلفية كانت تعمل سراً على نشر برمجية DarkKomet الخبيثة، إلى جانب تثبيت مكتبة معدّلة تستهدف مستخدمي Steam، حيث كانت تقوم بجمع بيانات الدخول إلى حساب المستخدم والاستحواذ على الجلسات النشطة داخل المنصة.
تشير التحليلات إلى أن هذه الهجمات نُفذت على الأرجح بواسطة عدة جهات تهديد منفصلة وليس من مجموعة واحدة، كما أنها لم تقتصر على نوع واحد من البرمجيات الخبيثة. ففي عدد من الحالات، اكتشفت كاسبرسكي خلفيات خبيثة كانت تنشر برمجيات سرقة المعلومات مثل Lumma وVidar، إضافة إلى أداة تحميل البرمجياتRenEngine . وتستطيع حلول كاسبرسكي الأمنية التعرف على جميع البرمجيات المرتبطة بهذه الحملة وحظرها بشكل كامل.
علق مكسيم ستارودوبوف، أحد خبراء الأمن السيبراني في كاسبرسكي، قائلاً: «يمكن إساءة استخدام المنصات الموثوقة في نشر البرمجيات الخبيثة، إذ تعتمد هذه الهجمات على ثقة المستخدمين بالمحتوى الموجود ضمن منصات تبدو آمنة وموثوقة، ورغم أن العديد من عائلات البرمجيات الخبيثة المستخدمة معروفة، فإن أسلوب التوزيع يسمح للمهاجمين بالوصول إلى عدد كبير من الضحايا المحتملين عبر محتوى يبدو غير ضار.»