黑客發布惡意Dota 2游戲模式，借以侵入玩家系統

近日，Avast安全研究員發現，有黑客創建了四種惡意的Dota 2自定義游戲模式。黑客在這些游戲模式中嵌入了惡意代碼，可能將其利用來建立對玩家系統的后門訪問。

《Dota 2》繼承了《魔獸爭霸3》的自定義地圖系統，允許任何有編程經驗的玩家實現他們對游戲的想法。這些玩家自制地圖本質上是利用Dota游戲引擎制作的全新的游戲。目前玩家社區已經開發了數千種游戲模式，其中的一款“自走棋”游戲擁有超過10萬玩家。

在本事件中，黑客利用了Google的V8 JavaScript引擎中的高危漏洞（CVE-2021-38003，已于2021年10月得到修補）。攻擊者創建的惡意游戲模式包含了可利用這一漏洞的代碼，從而使攻擊者能夠遠程執行命令，并有可能在被感染的設備上安裝更多的惡意軟件。

Avast研究員表示，攻擊者的終極目標尚不得而知，但可以肯定的是，他們并非是出于好心的研究目的（一直未向Valve 報告漏洞，很可能懷有惡意并且試圖以更大的規模進行利用）。

Avast安全研究團隊已將這一發現報告給《Dota 2》所屬的Valve公司。Valve已經采取措施升級過時的V8版本，并于2023年1月12日修復了漏洞。Valve及時下架了這些惡意自定義游戲模式，并通知了所有受到影響的玩家。據稱，只有不到200名玩家受到影響。

該篇研究報告在最后補充道，該文并非旨在貶損Valve的自定義游戲系統，與之相反，Avast認為此類官方支持的自定義游戲社區對整體玩家的安全性有著積極作用。因為Valve可以對游戲模式進行審核并刪除惡意模式，而許多其他游戲并沒有對自定義游戲的集成支持，導致玩家只能求助于從第三方站點下載模組，反而會更容易受到捆綁惡意軟件的侵害。