Un popular mod de Slay the Spire llamado Downfall se vio comprometido durante las vacaciones y se utilizó para enviar malware a los usuarios a través de una actualización de Steam. El malware en cuestión se llama Epsilon y se utiliza para robar información del hardware infectado, y estuvo presente en la versión independiente del mod en Steam durante aproximadamente una hora el día de Navidad.
Los atacantes comprometieron las cuentas de Steam y Discord de uno de los desarrolladores del mod, permitiendo el acceso a la cuenta de Steam del mod. El malware Epsilon se usa con frecuencia en Discord, a menudo viene empaquetado con un ejecutable de juego y, una vez instalado, se ejecuta en segundo plano recopilando las cookies del hardware y cualquier contraseña guardada o información de tarjeta de crédito en el dispositivo o almacenada en los navegadores (desde Google Chrome hasta Vivaldi). ).
«El día de Navidad, aproximadamente a las 12:30 p. m., hora del Este, sufrimos una violación de seguridad». escribe el desarrollador Michael Mayhem. «Aproximadamente a la 1:20 p. m., esa infracción permitió que una carga maliciosa superara nuestro juego en la biblioteca de Steam durante un período de aproximadamente una hora. Nuestras cuentas de Steam y Discord fueron secuestradas, y aunque las cuentas de Steam pudieron recuperarse tarde en el Por la noche, nuestra capacidad para advertir o comunicarnos inmediatamente después de la infracción fue limitada. Afortunadamente, pudimos contener la infracción real mucho más rápidamente que el tiempo que llevó recuperar las cuentas».
La infracción se contuvo aproximadamente a las 2:30 p. m., hora del este, y solo los usuarios que iniciaron Downfall dentro de esa ventana se vieron afectados (hay una lista completa de quién debe preocuparse y quién no debe preocuparse en una actualización de Steam). La principal preocupación son los usuarios que vieron una ventana emergente del instalador de la biblioteca de Unity.
«En tus usuarios/[username]/AppData/Local/Temp, habrá varios archivos que creará el troyano», escribe un usuario afectado. «Uno se llamará épsilon-[username].zip, que contiene todo lo que ha robado el troyano: información de Discord, autocompletar, contraseñas guardadas, información de red, cookies, tarjetas de crédito guardadas, información de Steam. ADVERTENCIA: Si vas a investigar estos archivos por ti mismo, hazlo sin estar conectado a Internet, en caso de que todavía exista alguna posibilidad de reactivar un evento.»
Mayhem dice que un profesional de seguridad que analizó la violación cree que se trató del llamado «secuestro de token» o secuestro de sesióny los daños han sido mínimos, aunque agregado a BleepingComputer que es «reacio a afirmar algo con absoluta certeza».
Los desarrolladores del mod han eliminado todo el hardware afectado, se están comunicando con los usuarios y con Valve sobre la infracción y están implementando seguridad adicional para, con suerte, evitar que algo como esto vuelva a suceder.
«No puedo disculparme lo suficiente con los usuarios afectados», dice Mayhem. «La idea de que alguien pueda secuestrar un proyecto de pasión gratuita con intenciones maliciosas es verdaderamente vil. Si eres un usuario afectado, por favor contáctame y haré todo lo que pueda para ayudarte. La caída no es nada sin sus jugadores y la alegría que lo rodea y Estoy consternado por el ataque».
Esto sigue poco después de que Valve anunciara nuevos controles de seguridad sobre los desarrolladores de Steam que envían cualquier actualización en la rama de lanzamiento predeterminada de su juego, después de varios ejemplos de compilaciones maliciosas enviadas a los jugadores a través de Steam. En ese momento, Valve le dijo a PC Gamer que esta «fricción adicional» para los socios es una «compensación necesaria para mantener seguros a los usuarios de Steam y a los desarrolladores conscientes de cualquier posible compromiso de su cuenta», y agregó que había visto «un aumento en los ataques sofisticados» dirigidos a cuentas de desarrollo.
Se recomienda a todos los usuarios de Downfall que cambien sus contraseñas y se aseguren de que la autenticación de dos factores esté habilitada siempre que sea posible.