Predz0rx The Indie Stone ejecutó una purga masiva el 8 de abril de 2026. El equipo de desarrollo eliminó doce modificaciones que contenían código Java malicioso diseñado para robar credenciales de Steam y datos personales de los jugadores. La medida afecta directamente a Build 42, la versión actual en acceso anticipado del juego de supervivencia zombie que mantiene una base de 52,000 jugadores concurrentes diarios.
El método del ataque
Los mods comprometidos, incluyendo «Zomboid Enhanced UI», «Survival Stats Plus» y «Advanced Map Tools», acumulaban más de 850,000 suscriptores combinados. Los creadores insertaron scripts ocultos dentro de los archivos Lua que se activaban al iniciar el juego. Este código capturaba información de sesión, historial de navegación y cookies de autenticación, transmitiéndolos después a servidores externos ubicados en dominios registrados bajo identidades falsas en jurisdicciones fuera de alcance legal inmediato.
La detección ocurrió cuando usuarios de Reddit y el foro oficial reportaron comportamiento anómalo en sus cuentas de Steam el 6 de abril. Un análisis técnico realizado por moderadores de la comunidad identificó patrones de tráfico sospechoso originados desde las carpetas de mods del juego. Los archivos maliciosos permanecieron disponibles durante 72 horas antes de la intervención oficial, tiempo suficiente para infectar aproximadamente a 23,000 usuarios activos según estimaciones preliminares.
La respuesta oficial
Chris Simpson, director de The Indie Stone, publicó un comunicado en los foros oficiales el mismo 8 de abril. Confirmó que Valve ya aplicó baneos permanentes a las cuentas de los creadores de los mods infectados, además de rastrear las direcciones IP asociadas a las cuentas de desarrolladores. El equipo de desarrollo implementó un nuevo protocolo de verificación de archivos que escanea automáticamente el código Lua buscando llamadas a redes externas no autorizadas antes de permitir la carga en el cliente del juego.
Simpson aclaró que los jugadores que solo se suscribieron a estos mods sin ejecutar el juego no se vieron afectados. El malware requería la carga completa del cliente de Project Zomboid para activarse y establecer conexión con los servidores de comando y control. Sin embargo, recomendó cambiar inmediatamente las contraseñas de Steam y activar la autenticación de dos factores a cualquier usuario que haya utilizado estas modificaciones entre el 1 y el 8 de abril de 2026.
Medidas de seguridad futuras
La compañía anunció una revisión manual de los 18,000 mods restantes en el Workshop del juego. Este proceso se extenderá durante las próximas tres semanas y priorizará las modificaciones con más de 10,000 suscriptores. Mientras tanto, los servidores públicos de Build 42 recibirán la actualización 42.2.1 que bloqueará la carga de mods que no estén firmados digitalmente por la plataforma de Steam o que contengan referencias a bibliotecas de red no estándar.
Para los jugadores, el consejo es claro. Verifiquen sus suscripciones de Steam Workshop y eliminen cualquier mod de desarrolladores no verificados que hayan descargado recientemente. Project Zomboid mantiene su posición como referente del género survival, pero este incidente expone las vulnerabilidades inherentes a las plataformas de contenido generado por usuarios en el ecosistema de PC. La comunidad modding representa más del 40% del tiempo total de juego según estadísticas de Steam, lo que hace imperativa la seguridad de estos archivos.
¡Tu turno de jugar!
Elige tu reacción o deja tu comentario, en Old School Club tu voz cuenta.
-
0
-
0
-
0
-
0
-
0
-
0
