黑客发布恶意Dota 2游戏模式，借以侵入玩家系统

近日，Avast安全研究员发现，有黑客创建了四种恶意的Dota 2自定义游戏模式。黑客在这些游戏模式中嵌入了恶意代码，可能将其利用来建立对玩家系统的后门访问。

《Dota 2》继承了《魔兽争霸3》的自定义地图系统，允许任何有编程经验的玩家实现他们对游戏的想法。这些玩家自制地图本质上是利用Dota游戏引擎制作的全新的游戏。目前玩家社区已经开发了数千种游戏模式，其中的一款“自走棋”游戏拥有超过10万玩家。

在本事件中，黑客利用了Google的V8 JavaScript引擎中的高危漏洞（CVE-2021-38003，已于2021年10月得到修补）。攻击者创建的恶意游戏模式包含了可利用这一漏洞的代码，从而使攻击者能够远程执行命令，并有可能在被感染的设备上安装更多的恶意软件。

Avast研究员表示，攻击者的终极目标尚不得而知，但可以肯定的是，他们并非是出于好心的研究目的（一直未向Valve 报告漏洞，很可能怀有恶意并且试图以更大的规模进行利用）。

Avast安全研究团队已将这一发现报告给《Dota 2》所属的Valve公司。Valve已经采取措施升级过时的V8版本，并于2023年1月12日修复了漏洞。Valve及时下架了这些恶意自定义游戏模式，并通知了所有受到影响的玩家。据称，只有不到200名玩家受到影响。

该篇研究报告在最后补充道，该文并非旨在贬损Valve的自定义游戏系统，与之相反，Avast认为此类官方支持的自定义游戏社区对整体玩家的安全性有着积极作用。因为Valve可以对游戏模式进行审核并删除恶意模式，而许多其他游戏并没有对自定义游戏的集成支持，导致玩家只能求助于从第三方站点下载模组，反而会更容易受到捆绑恶意软件的侵害。