文章总结： 卡巴斯基披露攻击者滥用SteamWorkshop与WallpaperEngine机制，将后门、挖矿程序等恶意载荷藏于动态壁纸包中传播。受害者应用壁纸后面临Steam账号劫持及系统感染风险。建议用户警惕包含可执行程序的壁纸，下载前务必扫描并开启双重验证，企业需关注此类低门槛终端入口的安全管控。 综合评分： 88 文章分类： 威胁情报,恶意软件,安全意识

恶意壁纸也能偷账号：Steam Workshop 事件提醒你，桌面美化不是零风险

原创

tcode tcode

字节脉搏实验室

2026年6月17日 10:15 北京

在小说阅读器读本章

去阅读

摘要：Kaspersky 6月16日披露，攻击者正在滥用Steam Workshop 和 Wallpaper Engine 的内容分享机制，把恶意软件藏进“动态壁纸”包中。受害者一旦应用这些壁纸，可能遭遇 Steam 账号被劫持、后门植入、挖矿程序或信息窃取。它的传播点不在传统钓鱼邮件，而在用户主动下载的社区内容。

一、壁纸为什么会变成安全问题

在很多人印象里，壁纸只是图片或动画，最多影响桌面美观，不应该涉及安全风险。

但 Wallpaper Engine 的生态不止支持普通图片和视频。Kaspersky 在6月16日的分析中提醒，Wallpaper Engine 支持“应用程序壁纸”这一类型，也就是可以把第三方 Windows 程序作为桌面动态内容运行。

这就改变了风险性质：如果壁纸包里包含可执行程序、脚本或被伪装的组件，那么它就不再只是壁纸，而是在用户电脑上运行的代码。

攻击者正是利用了这一点。

二、目前披露了哪些事实

Kaspersky 称，自2025年末以来，恶意软件开始通过 Steam Workshop 传播，攻击者主要滥用 Wallpaper Engine 的 Workshop 分享机制，把恶意内容藏在壁纸包里。

这些恶意壁纸并不一定一眼可疑。有的壁纸表面上能正常运行，甚至包含小游戏或互动效果，用户使用时不容易察觉异常。但后台可能同时释放后门、信息窃取程序、挖矿程序或其他恶意载荷。

BleepingComputer 6月16日的报道也引用了 Kaspersky 的研究：受感染壁纸可能导致 Steam 账号被劫持、系统感染后门，或者电脑被用于加密货币挖矿。报道称，Steam 已移除 Kaspersky 识别出的恶意壁纸应用，但研究人员仍提醒，新的恶意内容可能继续出现。

需要注意的是，本文不列出具体恶意链接、样本哈希和服务器地址。对于普通用户来说，更重要的是理解风险入口和防护动作，而不是复现攻击链。

三、为什么这种攻击容易成功

第一，社区平台天然有信任感。用户从 Steam Workshop 下载内容时，心理预期是“这是平台内的创意作品”，不是“这是可能运行代码的软件包”。

第二，壁纸类内容通常被低估。用户会认真审查远程控制软件、破解工具、陌生安装包，却很少用同样标准审查动态壁纸、桌面组件、游戏MOD和插件。

第三，攻击者把恶意行为藏在正常体验后面。壁纸能显示、小游戏能玩、动画能动，用户就容易认为一切正常。真正的恶意行为可能在后台完成。

第四，账号价值足够高。Steam 账号可能绑定支付方式、游戏库存、好友关系和市场资产。一旦会话或凭据被盗，攻击者还可能利用账号继续上传或传播恶意内容。

四、普通用户该怎么防

第一，不要把“来自平台内”直接等同于“安全”。Steam Workshop、浏览器扩展商店、IDE插件市场、手机应用商店，本质上都是内容分发渠道，不是绝对安全保证。

第二，谨慎安装“应用程序型”动态壁纸、桌面插件和互动组件。如果一个壁纸需要运行额外程序、解压压缩包、输入密码或授予异常权限，就应该提高警惕。

第三，下载后先扫描。尤其是包含EXE、DLL、脚本、压缩包的壁纸或MOD，应用前用系统安全软件或可信杀毒工具扫描一遍。

第四，开启 Steam Guard 等账号保护措施，并定期检查登录设备、交易记录、市场行为和好友消息。如果发现异常，应立即改密码、撤销未知设备会话，并检查邮箱和二次验证设置。

第五，不要在主力电脑上随意测试不明壁纸、MOD或插件。游戏和娱乐内容越来越接近“可执行供应链”，风险不再只属于办公软件。

五、企业也不能完全忽视这类事件

这看起来像个人玩家风险，但企业安全团队也应该关注。

很多员工会在个人电脑和工作电脑之间混用账号、浏览器、云盘和聊天工具。游戏MOD、桌面美化工具、浏览器扩展、输入法皮肤、截图工具，都可能成为终端侧的低门槛入口。

如果企业允许员工在办公终端安装娱乐软件或个性化工具，就需要有明确边界：哪些软件允许，哪些插件和扩展禁止，哪些目录和进程需要监控，哪些网络外联要告警。

安全策略不能只盯“看起来像办公软件”的应用。攻击者会选择用户最愿意主动安装、最不愿意怀疑的东西。

六、事实、推测和观点

事实：Kaspersky 披露了通过 Steam Workshop 和 Wallpaper Engine 分发恶意壁纸的活动，并指出部分恶意壁纸可能造成账号劫持、后门感染、挖矿和信息窃取。BleepingComputer 在6月16日进行了报道。

推测：Kaspersky 认为这类活动更像多个分散攻击者在利用同一传播趋势，而不是单一组织统一操作。这个判断来自样本和攻击方式多样性，仍属于研究者分析判断。

观点：动态壁纸、游戏MOD、编辑器插件和浏览器扩展正在共享同一个风险逻辑：它们看起来是内容，实际可能是可执行代码。只要能运行代码，就应该纳入安全审查。

结语

这起事件提醒我们：今天的“内容平台”已经不只是内容平台。

当壁纸、MOD、插件、扩展都具备执行能力时，它们就进入了软件供应链安全的范围。普通用户要少一点“平台里下载就安全”的想当然，企业也要少一点“娱乐软件不重要”的侥幸。

桌面可以个性化，但运行代码的东西，不能无条件信任。

参考来源

1. Kaspersky Securelist：《Dozens of malicious wallpapers found on Steam Workshop: gamers’ accounts at risk》，Maxim Starodubov、Denis Brylev，发布于2026年6月16日。

https://securelist.com/dozens-of-malicious-wallpapers-found-on-steam-workshop/120186/

2. BleepingComputer：《Steam Workshop abused to spread malware via Wallpaper Engine app》，Bill Toulas，发布于2026年6月16日 02:27 PM。

https://www.bleepingcomputer.com/news/security/steam-workshop-abused-to-spread-malware-via-wallpaper-engine-app/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：字节脉搏实验室 tcode tcode《恶意壁纸也能偷账号：Steam Workshop 事件提醒你，桌面美化不是零风险》