Modyfikacje wydłużają życie wielu gier, dodając nową zawartość, usprawnienia jakości życia czy całkowicie odmienne tryby rozgrywki. Jednocześnie dają twórcom nieoficjalnego oprogramowania szeroki dostęp do plików gry, a czasem także do systemu operacyjnego. Ostatnie wydarzenia związane z popularnym survivalem osadzonym w realiach postapokaliptycznych unaoczniły, że entuzjaści moddingu muszą zachować czujność nie mniejszą niż bohaterowie, w których się wcielają.
Jak działał złośliwy moduł
Opisany incydent rozpoczął się od zgłoszenia członka społeczności, który zauważył, że jeden z modów tworzy w katalogu użytkownika pliki spoza struktury gry i próbuje wykonywać podejrzane polecenia systemowe. Analiza wykazała, że autor wykorzystał lukę w implementacji obsługi skryptów Lua, umożliwiającą uruchomienie kodu poza piaskownicą gry. Chronologicznie kluczowe były trzy etapy:
• 7 kwietnia społeczność przekazała deweloperom szczegółowy raport z przykładami wygenerowanych plików oraz logów pokazujących próby połączeń sieciowych. • Dochodzenie ujawniło, że twórca feralnego rozszerzenia opublikował łącznie czternaście podobnych modyfikacji do różnych tytułów, a każdy z nich wykorzystywał tę samą podatność w silnikach gier opartych na Lua i C#. • Po ustaleniu wektora ataku zespół programistów gry oraz opiekunowie Warsztatu steamowego zablokowali konto autora, usunęli wszystkie niepożądane treści i opublikowali awaryjną aktualizację eliminującą lukę.
Skala zagrożenia
Szacuje się, że zainfekowane mody trafiły na od pięciuset do dwóch tysięcy dwustu komputerów. Liczby te wynikają z analizy statystyk pobrań w Warsztacie oraz danych udostępnionych przez serwery wieloosobowe, które rejestrowały nieautoryzowane zapytania HTTP. Wbrew pozorom, zagrożenie nie ograniczało się wyłącznie do jednego tytułu – wśród ofiar znalazły się także gry akcji, jRPG-i i roguelite’y. Odpowiedzialny za całość autor skorzystał z braku formalnego procesu weryfikacji kodu źródłowego w publikowanych paczkach, a część zagrożonych gier nie odcinała rozszerzeń od newralgicznego systemowego API.
Reakcja twórców i platformy dystrybucyjnej
Zespół deweloperski zareagował w ciągu kilkunastu godzin, przygotowując łatkę, która ograniczyła uprawnienia interpreterowi skryptów, a także wprowadziła dodatkowe filtry walidujące operacje na plikach i sieci. Valve, operator największej na świecie platformy dystrybucji cyfrowej, usunęło wszystkie prace powiązane z kontem moddera, a samo konto oznaczono banem uniemożliwiającym ponowną publikację. Równolegle administratorzy społecznościowych serwerów gry zaktualizowali czarne listy rozszerzeń i wymusili pobranie najnowszej wersji klienta przed dopuszczeniem użytkowników do wspólnej rozgrywki.
Zasady bezpiecznej instalacji modyfikacji
Incydent przypomina, że nawet pliki pochodzące z oficjalnych repozytoriów wymagają zdrowego sceptycyzmu. Aby zminimalizować ryzyko, warto: • instalować wyłącznie dodatki od znanych, aktywnych twórców, którzy udostępniają kod źródłowy lub cieszą się poparciem społeczności; • sprawdzać datę ostatniej aktualizacji i komentarze innych graczy, zwracając uwagę na wzmianki o nietypowym zachowaniu zainstalowanej gry; • utrzymywać aktualny silnik gry i system operacyjny, ponieważ część luk zabezpieczeń jest łata w kolejnych wersjach; • korzystać z oprogramowania antywirusowego monitorującego próby modyfikacji krytycznych katalogów użytkownika; • przechowywać kopie zapasowe zapisów gry oraz profili, aby w razie potrzeby błyskawicznie przywrócić stan sprzed instalacji niechcianego rozszerzenia.
