L’intention des pirates était d’utiliser le malware comme une mise à jour du jeu installé sur les PC des joueurs, puis de les infecter lors du téléchargement de la « nouvelle version ».
Heureusement, moins de 100 joueurs avaient ces jeux compromis installés sur leurs systèmes et ils ont également été contactés par Valve pour les informer de la faille de sécurité.
Vous vous demandez pourquoi les développeurs Steam devront confirmer par SMS avant de publier de nouvelles versions de jeu ou d’ajouter des utilisateurs ? (https://t.co/EIyLHyA02N….) On dirait que cela est lié au fait que des pirates informatiques ont pris le contrôle des comptes de développement Steam et ajouté des logiciels malveillants aux versions de jeux. (Capture d’écran via @SteamDB à partir de septembre 2023.) pic.twitter.com/WfjGiHdhxm
– Simon Carless (@simoncarless) 10 octobre 2023
« La version contenant le malware suspecté a été rapidement annulée et purgée de Steam, mais nous vous encourageons fortement à exécuter une analyse complète du système à l’aide d’un antivirus auquel vous faites confiance ou que vous utilisez régulièrement », a conseillé Valve via Simon Carless de GameDiscoverCo sur X.
En raison d’une « augmentation des attaques sophistiquées » contre les développeurs de jeux, a déclaré Valve dans un commentaire à Joueur sur PC, les exigences pour la sécurité de leurs comptes ont été modifiées.
Avant le 24 octobre, les développeurs doivent ajouter un numéro de téléphone à leur compte. L’acte de télécharger et de déployer une mise à jour doit donc être effacé avec un code de confirmation envoyé au téléphone.
Si les développeurs n’ont pas de téléphone, Valve a dit « désolé », mais ils « auront besoin d’un téléphone ou d’un moyen de recevoir des messages texte s’ils ont besoin d’ajouter des utilisateurs ou de définir la branche par défaut pour une application publiée ».
Selon Carless, certains développeurs sont mécontents du court délai nécessaire pour trouver un numéro de téléphone à joindre à leurs comptes et du fait que les messages texte peuvent toujours être un moyen pour les pirates de duper les destinataires.
Cependant, Valve a expliqué que si le développeur utilise l’API SetAppBuildLive, il pourra décider quel identifiant Steam utiliser et donc quel numéro de téléphone utiliser pour la confirmation.
Dans d’autres actualités sur les jeux, Psyonix a révélé que Ligue de fusée Les échanges entre joueurs seront supprimés en décembre, au grand dam des fans qui considèrent cette fonctionnalité comme faisant partie intégrante du jeu.