Dota 2的玩家注意了，你使用的游戲模式很可能被黑客盯上了。

2月13日消息，未知的威脅行為者為 Dota 2 游戲創(chuàng)建了惡意游戲模式，這些模式可能已經(jīng)被利用來建立對玩家系統(tǒng)的后門訪問。

威脅行為者利用了V8 JavaScript 引擎中的一個高危零日漏洞CVE-2021-38003（CVSS 評分8.8），谷歌在2021年10月已修復該漏洞。

“由于V8在Dota中沒有沙盒化，這個漏洞本身就可以對Dota玩家進行遠程代碼執(zhí)行，”Avast研究員Jan Vojtě?ek在上周發(fā)布的一份報告中說。

目前，游戲發(fā)行商Valve已經(jīng)在202年1月12日的更新版本中修復了該漏洞。游戲模式本質(zhì)上是一種自定義功能，既可以擴展現(xiàn)有游戲，也可以以一種偏離標準規(guī)則的方式提供全新玩法。

雖然向Steam商店發(fā)布自定義游戲模式需要經(jīng)過Valve的審查，但威脅行為者還是成功地繞過了審查。

這些游戲模式已經(jīng)被下架，它們是“test addon plz ignore”“Overdog no annoying heroes”“Custom Hero Brawl”以及 “Overthrow RTZ Edition X10 XP”。據(jù)稱，該威脅行為者還發(fā)布了名為“Brawl in Petah Tiqwa ”的第五種游戲模式，沒有包含任何惡意代碼。

“test addon plz ignore”中嵌入了一個針對V8缺陷的漏洞，該漏洞可以被用來執(zhí)行自定義的shellcode。

另外三個采取了更隱蔽的方法，其惡意代碼被設計成與遠程服務器聯(lián)系以獲取JavaScript有效載荷，這也可能是對CVE-2021-38003的利用，因為該服務器已不能訪問。

Avast表示，目前還不知道開發(fā)者創(chuàng)建這些游戲模式背后的最終目的是什么。