Nachrichten, Bedrohungsinformationen

Fans von Retro-Spielen sind die neue Zielgruppe für gefälschte GitHub-Malware

von Stefan Dasic | 18. Juni 2026
Nahaufnahme der Hände eines Mannes, der auf der PlayStation Vita spielt
Als bevorzugte Quelle bei Google hinzufügen

Fans von Retro-Spielen sollten bei GitHub-Projekten, die vorgeben, Tools oder Plugins für ihre Konsolen zu sein, Vorsicht walten lassen. Angreifer können gewöhnliche Computermalware als Homebrew-Software tarnen, und diese Technik funktioniert bei jeder Retro-Plattform mit einer aktiven Modding-Szene, nicht nur bei einer einzigen Konsole.

Wir haben uns kürzlich ein Beispiel angesehen, das sich an Besitzer einer PlayStation Vita richtet: ein gefälschtes Projekt, das vorgibt, ein kostenloses Audio-Tool zu sein, in Wirklichkeit aber Windows auf Ihrem Computer ausführt.

Das Projekt namens EQVita sieht aus wie ein ganz normales selbstentwickeltes Plugin. Es verfügt über eine gut ausgearbeitete README-Datei, einen Download-Button, Screenshots und ein übersichtliches Layout. Doch die Datei, die man herunterlädt, enthält überhaupt nichts für eine Vita. Sie enthält drei Windows , und die harmlos aussehende Textdatei darunter ist in Wirklichkeit ein verstecktes Skript, das sich unbemerkt mit dem Server des Angreifers verbindet, sobald man es ausführt.

Das ist kein Einzelfall. Andere Forscher haben beobachtet, dass Angreifer gefälschte GitHub-Repositorys – versehen mit KI-generierten Beschreibungen – nutzen, um eine Malware namens „SmartLoader“ zu verbreiten, die anschließend Malware zum Diebstahl von Passwörtern und Wallets wie beispielsweise „Lumma Stealer“ herunterlädt. Der EQVita-Download nutzt dieselbe Methode, die jedoch so umgestaltet wurde, dass sie Fans von Retro-Spielen anspricht.

Sehen Sie sich den folgenden Vergleich an. Links sehen Sie ein gefälschtes GitHub-Repository, rechts ein echtes.

Linkes BildRechtes Bild

Sogar bei der Versionsnummer gibt es einen kleinen Trick. Die echte EQVita-Version ist 1.10, während die Fälschung mit 1.3 gekennzeichnet ist. Auf den ersten Blick mag 1.3 neuer erscheinen – ist es aber nicht. Bei Software folgt 1.10 auf 1.9, daher ist das echte Projekt das aktuellere. Die Fälschung übernimmt lediglich eine Nummer, die aktuell wirkt.

Warum sich dies an die Vita-Community richtet

Wenn du dich nicht für Retro-Konsolen interessierst, sagt dir die PS Vita vielleicht nicht viel. Für eine große und aktive Community ist sie jedoch eine große Sache, und genau das macht sie zu einem Ziel.

Ich gebe zu, dass ich hier eine Schwäche habe: Ich habe mir vor etwa zehn Jahren meine eigene Vita 1000 aus zweiter Hand gekauft, und sie läuft immer noch einwandfrei. Hin und wieder hole ich sie aus dem Regal, vor allem, weil die Spielebibliothek so umfangreich ist, dass es immer etwas gibt, wofür es sich lohnt, wieder darauf zurückzukommen. Damit bin ich offensichtlich nicht allein.

Obwohl Sony die Produktion der Vita bereits vor Jahren eingestellt hat, halten Fans sie am Leben, indem sie eigene Software dafür entwickeln: Emulatoren, Dateimanager und Plugins. Eine modifizierte Vita kann eigene PSP-Spiele mit voller Geschwindigkeit ausführen und ältere Systeme wie das SNES, den Game Boy Advance und das Sega Genesis emulieren, was den Handheld zu einer vielseitigen Retro-Konsole macht. Im Jahr 2026 blüht die Szene auf, mit aktiven Entwicklern und sogar Homebrew-Wettbewerben mit Geldpreisen.

Diese Nachfrage spiegelt sich auch im Preis wider. Da seit 2019 keine neuen Geräte mehr hergestellt werden, sind funktionierende Vitas zu einem begehrten Retro-Artikel geworden, und die Preise auf den großen Marktplätzen sind im Laufe des letzten Jahres gestiegen – am stärksten gestiegen ist der Preis für das ältere OLED-Modell, das von Moddern wegen seiner Firmware geschätzt wird. Mit anderen Worten: Mehr Menschen als je zuvor kaufen eine Vita speziell, um sie zu modifizieren, was bedeutet, dass mehr Menschen nach Plugins und Tools zum Installieren suchen.

Genau diese Begeisterung machen sich Angreifer zunutze. Homebrew-Nutzer sind es gewohnt, Dateien von GitHub herunterzuladen, sie in Ordner zu kopieren und auszuführen. Das gesamte Hobby basiert darauf, dass man dem Code einzelner Entwickler vertraut. Betrüger wissen das, weshalb ein gefälschtes „Vita-Plugin“ eine einfache Möglichkeit darstellt, Nutzer dazu zu bringen, etwas auszuführen, was sie normalerweise nicht tun würden.

Wie der Betrug funktioniert

Der Download, EQ_Vita_v1.3.zip, enthält drei Dateien:

  • Launch.bat
  • luajit.exe
  • x64.txt

Und hier kommt der clevere Teil. luajit.exe ist ein echtes, harmloses Programm, das Skripte ausführt. Die Batch-Datei weist es lediglich an, die Datei zu öffnen x64.txt. Trotz der .txt name, diese Datei enthält gar keinen Text – es handelt sich um ein verstecktes Skript, das von LuaJIT ausgeführt wird. Wenn man es aufruft .txt Das ist es, was die Datei harmlos erscheinen lässt und dazu führt, dass man leicht darüber hinwegscrollt. Forscher haben bei der „SmartLoader“-Kampagne dieselbe Vorgehensweise festgestellt: Die einzige gefährliche Datei im Download ist das getarnte Skript, während alles andere legitim ist.

Für sich genommen sieht also nichts in dem Download gefährlich aus. Es gibt weder ein offensichtliches Installationsprogramm noch eine beängstigend aussehende App – lediglich ein vertrauenswürdiges Tool, das dazu verwendet wird, den Code eines anderen auszuführen.

Wir beobachteten, was passierte, als das Skript ausgeführt wurde. Zunächst überprüfte das Skript, wo auf der Welt sich der Computer befand. Dann stellte es unauffällig eine Verbindung zu einem Server im Internet her und sendete Daten an diesen, wobei eine Webadresse verwendet wurde, die zu einer bedeutungslos anmutenden Zeichenfolge verschlüsselt worden war. Der Server antwortete darauf.

Ein Audio-Plugin hat keinen Grund, so etwas zu tun. So verhält sich ein Malware-„Loader“: Er stellt eine Verbindung zum Server des Angreifers her, um Anweisungen zu erhalten und die nächste Malware-Komponente abzurufen. Bei dieser Kampagne handelt es sich bei dieser nächsten Komponente in der Regel um einen Stealer – also Malware, die nach Kryptowährungs-Wallets, gespeicherten Browser-Passwörtern und Anmeldedaten sucht.

Malwarebytes diese Bedrohung, sodass geschützte Benutzer daran gehindert werden, die Datei auszuführen, bevor sie gestartet werden kann.

So erkennt man die Fälschung

Die meisten Vita-Plugins werden mithilfe von Tools wie VitaShell oder Autoplugin auf der Vita installiert und liegen als Vita-Dateien vor (also solche, deren Dateiname auf .skprx oder .vpk).

Einige seriöse Tools in der Szene – Installationsprogramme, Hilfsprogramme für die Dateiübertragung, Build-Tools – laufen tatsächlich auf einem PC, daher ist ein Windows nicht automatisch schlecht. Wichtig ist, dass man es vor dem Ausführen überprüft.

Ist es allgemein bekannt? Wird es häufig verwendet? Wird es von vertrauenswürdigen Quellen aus der Community empfohlen, oder sind Sie einfach zufällig in einem unbekannten Repository darauf gestoßen? Ein „Plugin“, das sich still und leise auf ein .bat Eine Datei, die ein verstecktes Programm startet, ist genau das, was diese Überprüfung aufspüren soll.

Ein paar Gewohnheiten helfen dabei:

  • Ordnen Sie die Datei dem Gerät zu und überprüfen Sie die PC-Tools. Die meisten Vita-Plugins sind Vita-Dateien und keine Windows . Einige seriöse Tools lassen sich jedoch auf Ihrem PC ausführen, also geraten Sie nicht in Panik, wenn ein .exe oder .bat, aber vergewissern Sie sich, dass es sich um ein bekanntes, vertrauenswürdiges Tool handelt, bevor Sie es ausführen.
  • Seien Sie vorsichtig bei „Jetzt herunterladen“-Aufrufen. Echte README-Dateien von Homebrew-Projekten richten sich an Nutzer wie andere Entwickler. In dieser Kampagne stützen sich die gefälschten Repositories auf KI-generierten Text, der sich oft wie Marketingtext liest: mit vielen Emojis, freundlicher Formulierung und einem großen Download-Button. Ein Projekt, das Sie dazu drängt, schnell zu klicken, verdient einen zweiten Blick.
  • Halten Sie sich an vertrauenswürdige Quellen. Etablierte Community-Plattformen und Listen mit vertrauenswürdigen Quellen gibt es nicht ohne Grund. Überprüfen Sie die Quelle, bevor Sie etwas herunterladen.
  • Fügen Sie eine weitere Schutzebene hinzu. Malwarebytes Browser Guard dabei helfen, bekannte schädliche Seiten und Downloads zu blockieren, bevor sie Sie erreichen.

Was tun, wenn Sie das Programm bereits ausgeführt haben?

Wenn Sie die Datei heruntergeladen und ausgeführt haben EQ_Vita_v1.3.zip, sollten Sie davon ausgehen, dass der Computer kompromittiert ist. So gehen Sie vor:

  • Führen Sie einen vollständigen Malware-Scan mit aktueller Sicherheitssoftware durch.
  • Da diese Kampagne Malware verbreitet, die Daten stiehlt, sollten Sie Ihre wichtigen Passwörter von einem anderen, nicht infizierten Gerät aus ändern und Ihre Konten auf unbefugte Anmeldungen überprüfen.
  • Falls Sie Kryptowährung auf diesem Computer aufbewahren, sollten Sie Ihre Guthaben über ein anderes, unversehrtes Gerät übertragen und Ihre Schlüssel sowie Seed-Phrasen regelmäßig wechseln.
  • Überprüfen Sie Ihre Einstellungen für die Zwei-Faktor-Authentifizierung (2FA), da Datendiebe es auch auf 2FA-Daten abgesehen haben können.
  • Lösche abschließend die drei Dateien und melde das GitHub-Repository, damit es entfernt werden kann.

Warum dieser Betrug funktioniert

Es funktioniert, weil es nicht nach einem Betrugsversuch aussieht. Es befindet sich auf GitHub, wo Homebrew-Nutzer bereits ihr Vertrauen setzen. Es nutzt ein echtes, harmloses Tool, um seine schmutzige Arbeit zu verrichten. Und es versteckt den gefährlichen Teil in einer Datei, die wie reiner Text aussieht. Keiner dieser Tricks ist für sich genommen besonders raffiniert, aber zusammen schlüpfen sie mühelos an den oberflächlichen Überprüfungen vorbei, die die meisten Menschen tatsächlich durchführen.

Was diese Kampagne besonders bemerkenswert macht, ist ihre Zielgruppe. Retro-Communities leben von gutem Willen – von Freiwilligen, die alte Hardware am Laufen halten, ihre Arbeit kostenlos teilen und füreinander bürgen. Genau dieses Vertrauen nutzt diese Kampagne aus, und jedes gefälschte Repository, das durchrutscht, macht es ein wenig schwieriger, dem nächsten echten Projekt zu vertrauen.

Die beste Verteidigung ist die, über die diese Communities bereits verfügen: Listen vertrauenswürdiger Quellen, etablierte Wikis und Menschen, die Dinge testen und darüber berichten. Überprüfe die Herkunft einer Datei, bevor du sie ausführst, und wenn etwas nicht stimmt, sag es. Diese Gewohnheit sorgt dafür, dass die Szene für alle Beteiligten sicher bleibt.

Indikatoren für Kompromisse (IOCs)

Domänen

https://github.com/Voistace/EQVita
https://voistace.github.io

IP

85.137.52.21 C2

Wir berichten nicht nur über Bedrohungen - wir beseitigen sie

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.

Über den Autor

Stefan Dasic

Stefan Dasic

Stefan ist ein leidenschaftlicher Anhänger von Antiviren-Lösungen und hat sich schon früh mit Malware-Tests und der Qualitätssicherung von AV-Produkten beschäftigt. Als Teil des Malwarebytes widmet sich Stefan dem Schutz der Kunden und der Gewährleistung ihrer Sicherheit.

NEUESTE ARTIKEL

Datenschutzverletzungen
Kodak-Logo

Kodak bestätigt Datenleck, da die von ShinyHunters angekündigte Veröffentlichung der Daten nun fällig ist

Juni 18, 2026

Der Fotografie-Riese bestätigte einen Datenleck, nachdem die Gruppe „ShinyHunters“ behauptet hatte, 2,2 Millionen Datensätze gestohlen zu haben, und damit gedroht hatte, diese zu veröffentlichen.

Mobil
Android

Android „Rokarolla“ kann die Kontrolle über Ihr Smartphone übernehmen und Ihre Zugangsdaten für Online-Banking stehlen

Juni 17, 2026

Forscher haben einen Android aufgedeckt, der auf mehr als 200 Banking- und Kryptowährungs-Apps abzielt und die Kontrolle über infizierte Geräte übernehmen kann.

Datenschutzverletzungen
Datenschutzverletzung

24 Milliarden gestohlene Datensätze sind im Internet aufgetaucht. Hier erfahren Sie, was zu tun ist

Juni 17, 2026

Forscher entdeckten eine öffentlich zugängliche Sammlung von 24 Milliarden gestohlenen Datensätzen, darunter Benutzernamen, Passwörter und andere sensible Kontodaten.

Als bevorzugte Quelle bei Google hinzufügen

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug