Современный рынок компьютерных игр продолжает стремительно развиваться и привлекать миллионы пользователей по всему миру. Одной из популярнейших платформ для запуска и распространения игр является Steam, предлагающая разнообразные проекты как в официальном релизе, так и в формате раннего доступа. Однако с ростом популярности цифровых сервисов увеличивается и риск угроз безопасности. Так, на примере случая с игрой Chemia становится очевидна уязвимость подобных платформ перед целенаправленными кибератаками. 25 июля 2025 года стало известно о компрометации игры Chemia, находящейся в раннем доступе на Steam.
Хакер, известный под псевдонимом EncryptHub, сумел внедрить в дистрибутив игры малварь, предназначенную для скрытого кража персональных данных пользователей. Этот случай привлек внимание специально обученных исследователей из компании Prodaft, которые детально изучили механизм заражения, цели и последствия такой атаки. Chemia представляет собой survival crafting — игру жанра выживания с элементами крафта, разработанную студией Aether Forge Studios и находящуюся в статусе раннего доступа. Игроки получили возможность заранее опробовать проект, несмотря на отсутствие окончательного релиза и возможные ошибки в программном обеспечении. Предполагается, что именно такой формат стал входными воротами для злоумышленника.
Специалисты из Prodaft зафиксировали факт внедрения злоумышленником малвари HijackLoader, обозначенной также как CVKRUTNP.exe, 22 июля 2025 года. Эта программа незаметно закреплялась на устройствах жертв, после чего загружала инфостилер Vidar — вирус для кражи информации — под видом файла v9d9d.exe. Особенностью вредоносного кода оказалась организация управления через Telegram-канал, что облегчало обмен командами и получением обновлений по заражённым системам.
В течение трёх часов после первого заражения в систему игры был добавлен еще один вредоносный компонент – DLL-библиотека с именем cclib.dll, содержащая стилер под названием Fickle Stealer. Его работа основывалась на запуске PowerShell-скрипта worker.ps1, который загружал основную нагрузку из внешнего ресурса — сайта soft-gets[.]com.
Анализ показал, что Fickle Stealer специализируется на похищении широкого спектра пользовательских данных, включая сохранённые пароли и автозаполнение браузера, файлы cookie, а также информацию из криптовалютных кошельков. Вредоносное ПО было практически незаметным для пользователей, так как не ухудшало производительность игры и не влияло на её игровой процесс, что усложняло обнаружение заражения. Социальная инженерия стала ключевым элементом в стратегии атакующего: пользователи доверяли легитимности игры, размещённой на популярной платформе Steam, и потому с готовностью запускали заражённый исполняемый файл. Объектом атаки стал именно ранний доступ, где дополнительный контроль самим сервером Steam и внимательная проверка дистрибутивов значительно снижены, что позволяет злоумышленникам маскировать вредоносный код под обычный игровой файл без вызова подозрений. Еще более тревожным в этой истории является предыдущий опыт EncryptHub, который годом ранее уже применял тот же инфостилер в масштабной фишинговой кампании.
Тогда более 600 организаций по всему миру стали жертвами атак с элементами социальной инженерии. В совокупности эти данные рисуют образ чрезвычайно опасного и технически подкованного киберпреступника; аналитики критично оценивают не только его вредоносную деятельность, но и уникальное сочетание навыков багхантера, что позволяет ему находить уязвимости и использовать их во вред. Один из аспектов, вызывающих вопросы у экспертов – метод внедрения вредоносных файлов непосредственно в игру Chemia. На данный момент нет официальных комментариев со стороны разработчиков Aether Forge Studios. Однако одна из версий предполагает возможное участие инсайдера или нарушение безопасности систем сборки и дистрибуции игры.
Это ставит под сомнение защищённость процессов контроля качества на платформе Steam и требует пересмотра стратегии работы с контентом в раннем доступе. Инциденты с внедрением малвари через игры на Steam не редкость. Ранее в 2025 году с сервиса были удалены игры Sniper: Phantom's Resolution и PirateFi, которые тоже содержали вредоносный код. Таким образом, Chemia не стала исключением, а лишь очередным случаем в ряду подобных угроз. Этот факт заставляет задуматься над необходимостью ужесточения мер по проверке и мониторингу ПО как со стороны разработчиков платформ, так и конечных пользователей.
Пользователям необходимо оставаться бдительными и применять кибергигиену на всех уровнях: использование антивирусного программного обеспечения, регулярное обновление систем безопасности, осторожность при загрузке и запуске игр, особенно находящихся в раннем доступе. Разработчикам игр следует уделять больше внимания безопасности цепочки разработки и распространения контента, включая внедрение процессов автоматического аудита и использования цифровых подписей для исключения возможности незаметного внесения изменений в исполняемые файлы. В заключение важно отметить, что в 2025 году шведская компания Outpost24 KrakenLabs опубликовала подробный отчёт, в котором раскрываются детали личности EncryptHub. Выводы аналитиков указывают на его двойственную сущность: одновременно хакер-преступник и этичный багхантер, который даже занимался ответственным уведомлением Microsoft о найденных уязвимостях в Windows. Это показывает сложность современного киберпространства, где один и тот же человек способен как на конструктивный вклад в безопасность, так и на разрушительные атаки.
История с заражением Chemia служит серьёзным предупреждением индустрии игр и сообществу пользователей о необходимости укрепления киберзащиты. Она подчёркивает, что популярность и доверие к платформам не должны становиться гарантом безопасности, и требует постоянного контроля и развития технологий защиты от сложных угроз, сочетая технологические решения и человеческий фактор. Только такая комплексная стратегия позволит снизить риски распространения вредоносного ПО и сделать цифровое игровое пространство надёжным и безопасным для миллионов геймеров по всему миру.
