Du hast ja wohl ein 30 Zeichen Passwort und 2FA an.
Daher würde ich sagen entweder jemand der zugriff auf ein eingelogtes Gerät hat hat sich das zeug gekauft ODER du hast deine Accountdaten inklusive 2FA code in der vergangenheit mal ausversehen in eine Phfising website eingebene.
Am besten beim Steam Support melden und entferne alle Geräte von deinen Account:
https://store.steampowered.com/twofactor/manage
Unten bei "Deauthorize all devices".