Инцидент с вредоносными модификациями для популярной игры-песочницы Project Zomboid вновь актуализировал вопросы безопасности цифровых дистрибутивов и пользовательского контента. Атака, нацеленная на игровое сообщество, демонстрирует, как злоумышленники могут использовать доверие игроков и удобство платформ для распространения вредоносного программного обеспечения. В данном случае вектор атаки был связан не с самой игрой, а с пользовательскими модами, что усложняет обнаружение угрозы для обычного пользователя.
Разработчики игры, студия The Indie Stone, оперативно отреагировали на сообщения нескольких пользователей, поступившие 7 апреля. Жалобы касались одного из модов, который, по словам игроков, генерировал подозрительный код при запуске. Техническая команда немедленно начала расследование и подтвердила худшие опасения. Анализ показал, что код мода был намеренно сильно обфусцирован, то есть запутан, чтобы затруднить его изучение. Ключевой опасностью было то, что при своей работе мод создавал исполняемые файлы за пределами игровой директории Project Zomboid, что является классическим признаком вредоносного поведения, направленного на получение контроля над системой.
Более глубокое расследование вскрыло масштаб проблемы. Оказалось, что один и тот же пользователь под ником True MoooZIC загрузил в Steam Workshop не один, а целых четырнадцать модификаций, каждая из которых содержала один и тот же эксплойт. Все эти моды представляли собой аудиодополнения, заменяющие или добавляющие саундтреки из других известных игр и аниме, таких как "Risk of Rain", "NieR:Automata", "Persona 5" и "Minecraft". По оценкам разработчиков, эти моды успели установить на своё устройство от 500 до 2200 человек. После обнаружения угрозы аккаунт злоумышленника был забанен, а все скомпрометированные моды удалены с площадки Steam Workshop.
На текущий момент точный механизм работы вредоносных файлов и их конечная цель до конца не определены. Однако сам факт возможности создания файлов в произвольном месте файловой системы представляет собой критическую угрозу. Специалисты The Indie Stone подчеркивают, что простого удаления мода через клиент Steam будет недостаточно для гарантии безопасности. Вредоносный код уже мог выполнить свою полезную нагрузку. Поэтому всем, кто устанавливал перечисленные моды, настоятельно рекомендуется провести полную проверку системы с помощью антивирусного программного обеспечения, а также мониторить необычную активность.
Важный технический нюанс заключается в том, что данная уязвимость эксплуатировалась только в ветке Build 42 игры. Более старая и стабильная версия Build 41 не была подвержена этой конкретной проблеме. Отдельно стоит отметить, что выпущенные в тот же день обновления безопасности для Build 41 исправляют иную, ранее не известную уязвимость, обнаруженную в ходе внутреннего аудита кода. На данный момент нет свидетельств того, что эта отдельная уязвимость использовалась в реальных атаках.
Ситуация также породила путаницу в сообществе, так как имя злоумышленника совпало с названием популярного легального мода True Moozic. Разработчики были вынуждены дать специальное разъяснение. Вредоносными были не основные моды True Moozic, а созданные без согласия их автора дополнительные аддоны к ним. Сама легальная модификация True Moozic не использовалась как часть эксплойта и не представляет угрозы. Этот случай ярко иллюстрирует тактику злоумышленников, которые часто маскируют свои продукты под дополнения к популярному и доверенному контенту, чтобы обойти бдительность пользователей.
Инцидент с Project Zomboid является наглядным уроком для всего геймерского сообщества. Даже на проверенных платформах, таких как Steam Workshop, сохраняется риск столкнуться с угрозой, замаскированной под безобидный пользовательский контент. Рекомендации для игроков остаются классическими: проявлять осторожность при установке модов от неизвестных авторов, особенно если они появились недавно и имеют малую популярность, регулярно обновлять игровое и системное программное обеспечение и использовать комплексные средства защиты. Для разработчиков же это сигнал к необходимости усиления процедур предварительной модерации или внедрения более продвинутых автоматических систем анализа загружаемого кода на стороне платформы.
