Dota 2的玩家注意了，你使用的游戲模式很可能被黑客盯上了。

2月13日消息，未知的威脅行為者為 Dota 2 游戲創(chuàng)建了惡意游戲模式，這些模式可能已經(jīng)被利用來(lái)建立對(duì)玩家系統(tǒng)的后門訪問(wèn)。

威脅行為者利用了V8 JavaScript 引擎中的一個(gè)高危零日漏洞CVE-2021-38003（CVSS 評(píng)分8.8），谷歌在2021年10月已修復(fù)該漏洞。

“由于V8在Dota中沒(méi)有沙盒化，這個(gè)漏洞本身就可以對(duì)Dota玩家進(jìn)行遠(yuǎn)程代碼執(zhí)行，”Avast研究員Jan Vojtě?ek在上周發(fā)布的一份報(bào)告中說(shuō)。

目前，游戲發(fā)行商Valve已經(jīng)在202年1月12日的更新版本中修復(fù)了該漏洞。游戲模式本質(zhì)上是一種自定義功能，既可以擴(kuò)展現(xiàn)有游戲，也可以以一種偏離標(biāo)準(zhǔn)規(guī)則的方式提供全新玩法。

雖然向Steam商店發(fā)布自定義游戲模式需要經(jīng)過(guò)Valve的審查，但威脅行為者還是成功地繞過(guò)了審查。

這些游戲模式已經(jīng)被下架，它們是“test addon plz ignore”“Overdog no annoying heroes”“Custom Hero Brawl”以及 “Overthrow RTZ Edition X10 XP”。據(jù)稱，該威脅行為者還發(fā)布了名為“Brawl in Petah Tiqwa ”的第五種游戲模式，沒(méi)有包含任何惡意代碼。

“test addon plz ignore”中嵌入了一個(gè)針對(duì)V8缺陷的漏洞，該漏洞可以被用來(lái)執(zhí)行自定義的shellcode。

另外三個(gè)采取了更隱蔽的方法，其惡意代碼被設(shè)計(jì)成與遠(yuǎn)程服務(wù)器聯(lián)系以獲取JavaScript有效載荷，這也可能是對(duì)CVE-2021-38003的利用，因?yàn)樵摲?wù)器已不能訪問(wèn)。

Avast表示，目前還不知道開發(fā)者創(chuàng)建這些游戲模式背后的最終目的是什么。