Compromesso l'emulatore CEMU, i file infetti "giocano" alla roulette russa coi PC israeliani
Inviato: giovedì 14 maggio 2026, 0:11
L'attacco pare effettuato da attori pro-Russia e pare che le versioni Windows, MacOS e Flatpak non sono state modificate. Non che ve ne era motivo poiché il file scaricato nel secondo step di attacco del malware è realizzato per attaccare unicamente sistemi linux. Il malware iniettato non era specificatamente rivolto agli utenti del noto emulatore, ma si tratta della compromissione dell'account Github di uno sviluppatore dell'emulatore per mezzo di una applicazione WSL, che ha cercato quindi di infettare tutti i progetti in cui lo sviluppatore aveva i permessi per modificare i file delle release.
Gli utenti Linux di CEMU che hanno scaricato i file Cemu-2.6-x86_64.AppImage o cemu-2.6-ubuntu-22.04-x64.zip nel periodo indicato dovrebbero considerare come infetto il proprio sistema. Il malware include funzionalità di furto delle credenziali e bersaglia servizi basati sul cloud o sulla programmazione, cercando di diffondere il contagio verso altri progetti open source cercando profili che possano committare nei repository pubblici. L'attacco consiste in uno script in python che prova a scaricare un ulteriore script da un ip esterno, ovvero l'indirizzo 83.142.209.194 che si raccomanda di bloccare a prescindere nel proprio firewall, e - se infetti - di resettare a reinstallazione del sistema operativo effettuata i token di Github, Password e rimpiazzare eventuali chiavi SSH utilizzate.
Lo script di cancellazione pare una vera e propria rulette russa: Ad ogni avvio c'è una possibilità su 6 che riproduca ad alto volume l'audio di una sirena ed esegua sul sistema operativo il celebre comando rm -rf /, sostanzialmente cancellando ricorsivamente tutto il file system e provando quindi a cancellare le tracce di eventuali manomissioni ai progetti degli sviluppatori colpiti.