Project Zomboid, el popular juego de supervivencia con zombis, se ha visto envuelto en un serio problema de seguridad relacionado con su Workshop de Steam. The Indie Stone ha confirmado que retiró 14 mods subidos por un mismo usuario después de comprobar que contenían código "fuertemente ofuscado" y que estaban creando archivos maliciosos fuera del directorio del juego.
El estudio explica que recibió avisos de varios jugadores el 7 de abril, investigó el primer mod señalado y acabó encontrando el mismo exploit en otros trece más. El autor ya ha sido expulsado del Workshop y todos los mods afectados han sido eliminados.
Según el comunicado oficial, esos mods habían sido instalados en entre 500 y 2200 dispositivos, una horquilla que da una idea del alcance potencial del problema. The Indie Stone reconoce además que todavía no ha podido determinar del todo qué hacían exactamente esos archivos maliciosos, pero lanza una advertencia muy clara a quienes los descargaron, que tomar medidas de seguridad en el sistema es imprescindible, porque borrarlos del juego no garantiza que el equipo haya quedado limpio.
El problema afectó a Build 42 y no comprometió la rama estable Build 41
El estudio aclara que este exploit solo afectó a las ramas Build 42 de Project Zomboid, la versión inestable que se usa como entorno de pruebas. La Build 41 no era vulnerable a este fallo concreto, aunque The Indie Stone también publicó el mismo día actualizaciones de seguridad para esa rama estable tras detectar otra vulnerabilidad distinta durante una auditoría interna. En ese segundo caso, el equipo asegura que no ha encontrado pruebas de explotación real.
Otro matiz importante es que los mods retirados no eran el mod principal True MoooZIC, ni habían sido creados por su autor. The Indie Stone ha tenido que aclararlo expresamente porque muchos jugadores estaban confundiendo el incidente con ese proyecto. En realidad, los elementos afectados eran complementos para True MoooZIC y, según el estudio, se publicaron sin el consentimiento del creador original.
La lista de mods eliminados incluye paquetes musicales inspirados en series y juegos como Persona 5, NieR: Automata, Hotline Miami, Silent Hill, Cowboy Bebop, Katana ZERO, Risk of Rain o Minecraft. Aquí podéis consultar la lista completa de mods afectados.
