(https://i.imgur.com/kMoj7u8.png)
Valve ha anunciado la implementación de medidas de seguridad adicionales para los desarrolladores que publican juegos en Steam, incluidos los códigos de confirmación basados en SMS. Esto es para hacer frente a un brote reciente de actualizaciones maliciosas que impulsan malware desde cuentas de editores comprometidas.
Steamworks es un conjunto de herramientas y servicios que los desarrolladores y editores de juegos/software utilizan para distribuir sus productos en la plataforma Steam.
Es compatible con DRM (gestión de derechos digitales), multijugador, transmisión de video, emparejamiento, sistema de logros, voz y chat en el juego, microtransacciones, estadísticas, guardado en la nube y uso compartido de contenido creado por la comunidad (Steam Workshop).
A partir de finales de agosto y hasta septiembre de 2023, ha habido un número elevado de informes sobre cuentas de Steamworks comprometidas y los atacantes que cargan compilaciones maliciosas que infectan a los jugadores con malware.
Valve aseguró a la comunidad de jugadores que el impacto de estos ataques se limitó a unos pocos cientos de usuarios, que fueron informados individualmente de la posible violación a través de avisos enviados por la compañía.
(https://i.imgur.com/DVGEPsZ.png)
Aviso enviado a los jugadores afectados (@SteamDB)
Para frenar este problema, Valve aplicará una nueva comprobación de seguridad basada en SMS a partir del 24 de octubre de 2023, que los desarrolladores de juegos deben pasar antes de enviar una actualización a la rama de lanzamiento predeterminada (no a las versiones beta).
El mismo requisito se aplicará cuando alguien intente agregar nuevos usuarios al grupo de socios de Steamworks, que ya está protegido por una confirmación basada en correo electrónico. A partir del 24 de octubre, el administrador del grupo debe verificar la acción con un código SMS.
"Como parte de una actualización de seguridad, cualquier configuración de cuenta de Steamworks que se cree en vivo en la rama predeterminada/pública de una aplicación lanzada deberá tener un número de teléfono asociado con su cuenta para que Steam pueda enviarle un mensaje de texto con un código de confirmación antes de continuar", se lee en el anuncio de Valve de principios de esta semana.
"Lo mismo ocurrirá con cualquier cuenta de Steamworks que necesite agregar nuevos usuarios. Este cambio se implementará el 24 de octubre de 2023, así que asegúrese de agregar un número de teléfono a su cuenta ahora".
"También planeamos agregar este requisito para otras acciones de Steamworks en el futuro".
Para aquellos que usan la API SetAppBuildLive, Steam la ha actualizado para requerir un SteamID para la confirmación, particularmente para los cambios en la rama predeterminada de una aplicación lanzada.
El uso de "steamcmd" para poner en marcha las compilaciones ya no es aplicable para administrar la rama predeterminada de las aplicaciones publicadas.
Además, Valve dice que no habrá una solución para los desarrolladores sin un número de teléfono, por lo que deben encontrar una manera de recibir mensajes de texto para continuar publicando en la plataforma.
No es una solución perfectaSi bien la introducción de la verificación basada en SMS es un buen paso para lograr una mejor seguridad de la cadena de suministro en Steam, el sistema está lejos de ser perfecto.
Uno de los desarrolladores del juego, Benoît Freslon, explicó que fue infectado con un malware de robo de información que se utilizó para robar sus credenciales.
Usando estas credenciales robadas, el actor de amenazas lanzó brevemente una actualización maliciosa para NanoWar: Cells VS Virus que infectó a los jugadores con malware.
Freslon explicó en Twitter que la nueva medida de seguridad MFA basada en SMS de Valve no habría ayudado a detener el ataque, ya que el malware ladrón de información arrebató tokens de sesión a todas sus cuentas.
(https://i.imgur.com/lgi1fBz.png)
En una publicación separada en su sitio web, el desarrollador del juego explicó que el ataque ocurrió en Discord, y los actores de amenazas lo engañaron para que descargara y revisara un juego de Unity llamado "Extreme Invaders".
El instalador del juego dejó caer un malware de robo de contraseñas en su computadora, que se dirigía a sus cuentas de Discord, Steam, Twitch, Twitter y otras.
Hasta que los tokens fueron revocados o expiraron, los atacantes continuaron accediendo a las cuentas del desarrollador, permaneciendo libres para enviar actualizaciones de juegos con malware a los jugadores.
Además, SMS 2FA es inherentemente vulnerable a los ataques de intercambio de SIM en los que los actores de amenazas pueden transferir el número de un desarrollador de juegos a una nueva SIM y eludir la medida de seguridad.
Una solución mejor y más moderna sería aplicar aplicaciones de autenticación o claves de seguridad físicas, especialmente para proyectos con grandes comunidades.
Fuente: https://www.bleepingcomputer.com