De FBI is een grootschalig onderzoek gestart naar malware die verborgen zat in zeven indiegames op Steam. Tussen mei 2024 en januari 2026 werden de games BlockBlasters, Chemia, Dashverse/DashFPS, Lampy, Lunara, PirateFi en Tokenova gebruikt om nietsvermoedende gamers te infecteren met zogeheten infostealers: malware die wachtwoorden, browsergegevens en cryptowallets steelt. De games zijn inmiddels van Steam verwijderd, maar de schade is al aangericht.
Eén dader, zeven games
Het onderzoek wordt geleid door de FBI-vestiging in Seattle. Opvallend is dat de FBI spreekt over één enkele “threat actor”, wat erop wijst dat alle zeven games door dezelfde persoon of groep zijn geüpload. De games waren stuk voor stuk kleine, onbekende indietitels die op het eerste gezicht onschuldig leken. Ze functioneerden als echte games, maar bevatten verborgen code die na installatie persoonlijke gegevens van spelers begon te stelen.
De FBI roept slachtoffers op zich te melden via een formulier op fbi.gov. Wie een van deze games heeft gedownload, komt mogelijk in aanmerking voor schadevergoeding onder de Amerikaanse wetgeving.
BlockBlasters: 32.000 dollar gestolen tijdens liefdadigheidsstream
Het meest schrijnende geval is BlockBlasters, een gratis 2D-platformer die tussen juli en september 2024 op Steam stond. De game werd gebruikt om 32.000 dollar te stelen van Raivo Plavnieks, beter bekend als de streamer RastalandTV. Het geld was bedoeld voor een liefdadigheidsactie voor kankerpatiënten. De oplichters voegden daar nog een klap bovenop door te zeggen dat de streamer het bedrag “in een paar uurtjes wel zou terugverdienen.”
PirateFi: Vidar-malware verpakt als survivalgame
Een ander opvallend geval is PirateFi, een gratis survivalgame die begin februari 2025 op Steam verscheen. De game zag er best leuk uit: een low-poly wereld met base building, wapens craften en voedsel verzamelen. Het had zelfs een 9/10 beoordeling op Steam. Maar achter de schermen draaide de Vidar-infostealer mee.
Vidar is een berucht stuk malware dat sinds 2018 actief is en wordt verkocht als “malware-as-a-service”. Het kan wachtwoorden uit je browser stelen, sessiecookies kopiëren waarmee aanvallers in je accounts kunnen inloggen zonder wachtwoord, cryptowallets leegtrekken, tweefactorauthenticatiecodes onderscheppen en screenshots maken van je scherm.
PirateFi stond ongeveer een week op Steam voordat het werd ontdekt en verwijderd. In die tijd hadden zo’n 1.500 spelers de game gedownload. Valve stuurde waarschuwingen naar getroffen gebruikers met het advies om een volledige antivirusscan te draaien en zelfs Windows opnieuw te installeren.
Beveiligingsonderzoekers van SECUINFRA ontdekten dat PirateFi nooit een echte game is geweest: het was gebouwd op een gekocht gametemplate genaamd Easy Survival RPG (kostprijs 399 tot 1.099 dollar) en puur bedoeld om malware te verspreiden. De “ontwikkelaar” Seaworth Interactive had geen online aanwezigheid en verdween na de ontdekking van het toneel.
Steam’s beveiligingsprobleem
Dit is niet de eerste keer dat malware op Steam terechtkomt. In 2023 werden Dota 2-gamemods misbruikt om via een Chrome-exploit code uit te voeren op pc’s van spelers. Later dat jaar werd een mod voor Slay the Spire gehackt om een infostealer te verspreiden. In maart 2025 werd Sniper: Phantom’s Resolution van Steam gehaald vanwege vergelijkbare verdenkingen.
Valve heeft in het verleden maatregelen genomen zoals SMS-verificatie voor ontwikkelaars die updates uploaden, maar de PirateFi-zaak laat zien dat die maatregelen niet waterdicht zijn. Steam is er duidelijk over: hun controles zijn geen vervanging voor antivirussoftware, en het downloaden van games blijft uiteindelijk op eigen risico.
Dat klinkt logisch voor een platform met meer dan 100.000 games, maar het roept wel vragen op. Als een game met malware een 9/10 beoordeling kan krijgen en bijna 1.500 downloads kan halen voordat iemand alarm slaat, hoe veilig is de gemiddelde indiegame dan?
Wat moet je doen als je een van deze games hebt gespeeld?
Heb je BlockBlasters, Chemia, Dashverse/DashFPS, Lampy, Lunara, PirateFi of Tokenova gedownload? Dan raadt de FBI het volgende aan:
Verwijder de game direct van je systeem. Draai een volledige antivirusscan met betrouwbare software. Wijzig de wachtwoorden van al je online accounts, te beginnen met e-mail, bankzaken en sociale media. Schakel tweefactorauthenticatie in waar dat mogelijk is. Controleer je bankafschriften en cryptowallets op verdachte transacties. Overweeg om Windows opnieuw te installeren als je PirateFi hebt geïnstalleerd.
Amerikaanse slachtoffers kunnen zich melden via het officiële FBI-formulier op fbi.gov of mailen naar Steam_Malware@fbi.gov.
Een waarschuwing voor iedereen
De les hier is pijnlijk maar belangrijk: niet elke game op Steam is te vertrouwen, ook niet als die positieve reviews heeft. Controleer altijd de ontwikkelaar, kijk of er een echte online aanwezigheid is, en wees extra voorzichtig met gratis games van onbekende studio’s. Een paar minuten onderzoek kan je veel ellende besparen.
