게이머 주의: 스팀에 악성 배경화면 발견, 계정을 절도
출처: 해커 뉴스
2025년 후반부터 악성코드는 스팀 워크샵을 통해 급속히 확산되고 있습니다. 스팀 워크샵은 플레이어가 직접 만든 맞춤형 콘텐츠를 만들고 공유할 수 있는 내장 서비스를 제공하는 게임 플랫폼입니다. 공격자들은 주로 중국과 러시아 게이머들을 타깃으로 삼아 계정을 해킹하려 합니다. 이를 위해 그들은 스팀에 제공되는 인기 있는 라이브 월페이퍼 앱인 ‘Wallpaper Engine’을 악용하고 있으며, 특히 워크샵 공유 기능을 이용합니다. 악성코드는 사용자들이 서로 공유하는 월패키지 안에 은닉되어 있습니다. 이러한 손상된 월페이퍼를 실행하면 스팀 계정이 도용될 수 있거나 백도어 및 크립토 마이너가 설치되어 시스템이 감염될 수 있습니다.
Wallpaper Engine은 무엇인가?
Wallpaper Engine은 데스크톱에 애니메이션 월페이퍼를 설정할 수 있는 앱입니다. Windows와 Android 모두에서 사용할 수 있지만, 우리의 조사는 윈도우 버전만 집중했습니다. 거대한 스팀 커뮤니티 덕분에 이 앱은 매우 인기가 많습니다, 일일 활성 사용자가 약 10만 명에 달하고 거의 백만 건의 리뷰를 보유하고 있습니다. 내장된 편집기를 통해 사용자는 자체 디자인을 만들 수 있으며, 다양한 월페이퍼 유형을 지원합니다:
- 비디오: MP4, WebM 및 기타 일반적인 동영상 포맷
- 장면: 앱 자체 편집기로 만든 인터랙티브 월페이퍼
- 웹 페이지: 자바스크립트와 CSS로 구동되는 HTML 페이지로, 오디오와 비디오 요소도 포함될 수 있음
- 애플리케이션: 타사 Windows 호환 소프트웨어의 실행 창을 사용자가 데스크톱 배경으로 설정할 수 있음
마지막 유형인 애플리케이션 월페이퍼는 위험성이 높습니다. 이는 본질적으로 독립적인 프로그램이기 때문입니다. 데스크톱에서 바로 플레이하는 미니 게임부터 일정표, 캘린더, 시스템 모니터, CPU 또는 GPU 사용량을 추적하는 위젯까지 다양할 수 있습니다.
애플리케이션 월페이퍼: 내장 보안 위험
‘애플리케이션 월페이퍼’라는 개념 자체가 외부 코드를 직접 컴퓨터에 실행하도록 허용합니다. 해커들은 이 기능을 주목하고 이러한 유의 월패키지에 악성코드를 삽입하기 시작했습니다. Wallpaper Engine은 Steam 워크샵을 통해 콘텐츠를 공유하므로, 누구나 월패키지를 만들고 커뮤니티에 무료로 다운로드·설치할 수 있습니다. 따라서 이 환경은 악성 행위자들에게 매력적인 기회가 됩니다. 스팀 워크샵에 떠다니는 이러한 악성 애플리케이션 월패키지를 수십 개 발견했으며, 각각은 수천 회에서 수만 회 이상 다운로드된 것으로 확인했습니다.
감염된 게임 월페이퍼 내부
On the surface, this wallpaper sample (above) we uncovered in December 2025 looks completely harmless.
표면적으로는 이 월페이퍼 샘플(위)이 2025년 12월에 발견한 사례처럼 전혀 위험하지 않아 보입니다.
Once launched, there’s absolutely nothing to trigger your suspicion. The built‑in game boots up flawlessly, runs smoothly, and the desktop controls work exactly as they should.
실행하면 의심할 여지가 전혀 없습니다. 내장된 게임은 완벽하게 부팅되고 부드럽게 실행되며 데스크톱 조작이 예상대로 작동합니다.
But behind the scenes, a full‑blown infection is underway. Within just a few minutes, a user might suddenly realize their Steam account has been hijacked, or find their computer crippled by malware, with their files being encrypted by ransomware or their system performance tanking because of a hidden crypto miner.
하지만 뒤에서는 대규모 감염이 진행 중입니다. 몇 분 안에 사용자는 갑자기 스팀 계정이 해킹당했음을 인식하거나, 컴퓨터가 악성코드에 의해 crippled되어 파일이 랜섬웨어로 암호화되고 시스템 성능이 크립토 마이너 때문에 급격히 저하되는 것을 발견할 수 있습니다.
악성코드 배포 방식
Once the game wallpaper launches, it drops a backdoor file called Synaptics.exe (part of the DarkKomet malware family) straight into the victim’s system.
게임 월페이퍼가 실행되면 백도어 파일인 Synaptics.exe(DarkKomet 가족 DarkKomet 악성코드)의 일부로 바로 피해자의 시스템에 드롭됩니다.
At the same time, an executable named ._cache_GAME1.exe fires up to boot the actual game, NTRaholic.
동시에 실행 파일인 ._cache_GAME1.exe가 NTRaholic 실제 게임을 부팅하도록 실행됩니다.
But that ._cache_GAME1.exe module is doing double duty. It simultaneously installs a custom version of a system library called AggregatorHost.dll with a payload inside.
._cache_GAME1.exe 모듈은 이중 역할을 수행합니다. 동시에 시스템 라이브러리인 AggregatorHost.dll의 커스텀 버전을 설치하고, 그 안에 페이로드를 포함시킵니다.
This modified library has one main objective: track down the Steam app on the computer and hunt for account credentials.
수정된 라이브러리의 주요 목표는 컴퓨터에 있는 Steam 앱을 찾고 계정Credentials(계정 정보)를 탐색하는 것입니다.
Next, the compromised AggregatorHost.dll sends all the collected data to a server controlled by the hackers at hxxp://120.48.156[.]17/ey.php.
그 다음, 손상된 AggregatorHost.dll은 해커들이 운영하는 서버 hxxp://120.48.156[.]17/ey.php 로 수집한 데이터를 전송합니다.
Once the attackers have control of that active session, they can use the victim’s account to upload eve
해커가 해당 활성 세션을 장악하면, 피해자의 계정을 이용해 업로드를 수행할 수 있습니다.