Un mod populaire de Slay the Spire appelé Downfall a été compromis pendant les vacances et utilisé pour transmettre des logiciels malveillants aux utilisateurs via une mise à jour Steam. Le malware en question s’appelle Epsilon et est utilisé pour voler des informations sur du matériel infecté. Il était présent dans la version autonome du mod sur Steam pendant environ une heure le jour de Noël.
Les attaquants ont compromis l’un des comptes Steam et Discord des développeurs du mod, permettant ainsi l’accès au compte Steam du mod. Le malware Epsilon est fréquemment utilisé sur Discord, souvent fourni avec un exécutable de jeu, et une fois installé, il s’exécute en arrière-plan en récoltant les cookies du matériel, ainsi que tous les mots de passe ou informations de carte de crédit enregistrés sur l’appareil ou stockés par les navigateurs (de Google Chrome à Vivaldi). ).
« Le jour de Noël, vers 12 h 30, heure de l’Est, nous avons été confrontés à une faille de sécurité » écrit le développeur Michael Mayhem. « Vers 13h20, cette faille a permis à un téléchargement malveillant de prendre le dessus sur notre jeu sur la bibliothèque Steam pendant environ une heure. Nos comptes Steam et Discord ont été piratés, et bien que les comptes Steam aient pu être récupérés tardivement, soir, nous étions limités dans notre capacité à avertir ou à communiquer immédiatement après la violation. Heureusement, nous avons pu contenir la violation réelle beaucoup plus rapidement que le temps qu’il a fallu pour récupérer les comptes.
La violation a été contenue vers 14h30, heure de l’Est, et seuls les utilisateurs qui ont lancé Downfall dans cette fenêtre ont été concernés (il existe une liste complète de ceux qui ont et n’ont pas besoin de s’inquiéter dans une mise à jour Steam). La principale préoccupation concerne les utilisateurs qui ont vu une fenêtre contextuelle d’installation de la bibliothèque Unity.
« Dans vos utilisateurs/[username]/AppData/Local/Temp, le cheval de Troie créera plusieurs fichiers », écrit un utilisateur concerné. « L’un d’eux s’appellera epsilon-[username].zip, qui contient tout ce que le cheval de Troie a volé : informations Discord, saisie semi-automatique, mots de passe enregistrés, informations réseau, cookies, cartes de crédit enregistrées, informations Steam. AVERTISSEMENT : Si vous enquêtez vous-même sur ces fichiers, faites-le sans être connecté à Internet, juste au cas où il existerait encore une possibilité de redéclencher un événement. »
Mayhem dit qu’un professionnel de la sécurité qui a examiné la faille pense qu’il s’agissait d’un soi-disant « détournement de jetons » ou détournement de sessionet les dégâts ont été minimes, bien qu’ajouté à BleepingComputer qu’il est « réticent à affirmer quoi que ce soit avec une certitude absolue ».
Les développeurs du mod ont purgé tout le matériel concerné de leur côté, communiquent avec les utilisateurs et Valve au sujet de la violation et mettent en place une sécurité supplémentaire pour, espérons-le, empêcher qu’une telle chose ne se reproduise.
« Je ne peux pas m’excuser suffisamment auprès des utilisateurs concernés », déclare Mayhem. « L’idée que quelqu’un puisse détourner un projet Passion gratuit à des fins malveillantes est vraiment ignoble. Si vous êtes un utilisateur concerné, contactez-moi et je ferai tout ce que je peux pour vous aider. La chute n’est rien sans ses joueurs et la joie qui l’entoure et Je suis consterné par cette attaque. »
Cela fait suite à l’annonce de Valve nouveaux contrôles de sécurité sur les développeurs Steam poussant toute mise à jour sur la branche de version par défaut de leur jeu, après divers exemples de versions malveillantes transmises aux joueurs via Steam. À l’époque, Valve avait déclaré à PC Gamer que cette « friction supplémentaire » pour les partenaires était un « compromis nécessaire pour assurer la sécurité des utilisateurs de Steam et pour que les développeurs soient conscients de tout compromis potentiel sur leur compte », ajoutant qu’il avait constaté « une augmentation des attaques sophistiquées » ciblant comptes de développement.
Il est conseillé à tous les utilisateurs de Downfall de modifier leur mot de passe et de s’assurer que l’authentification à deux facteurs est activée dans la mesure du possible.