Noticias, Inteligencia sobre amenazas

Los aficionados a los videojuegos retro son el nuevo objetivo del malware falso de GitHub

por Stefan Dasic | 18 de junio de 2026
Primer plano de las manos de un hombre jugando a la PlayStation Vita
Añadir como fuente preferida en Google

Los aficionados a los videojuegos retro deben tener cuidado con los proyectos de GitHub que afirman ser herramientas o complementos para sus consolas. Los atacantes pueden camuflar malware informático común como software «homebrew», y esta técnica funciona contra cualquier plataforma retro que cuente con una comunidad activa de modding, no solo contra una consola concreta.

Hace poco analizamos un ejemplo dirigido a los usuarios de PlayStation Vita: un proyecto falso que se hace pasar por una herramienta de audio gratuita, pero que en realidad ejecuta Windows en tu ordenador.

El proyecto, denominado EQVita, parece un complemento casero normal y corriente. Cuenta con un archivo README bien elaborado, un botón de descarga, capturas de pantalla y un diseño ordenado. Sin embargo, el archivo que se descarga no contiene absolutamente nada para la Vita. Contiene tres Windows , y el archivo de texto de aspecto inofensivo que se encuentra entre ellos es, en realidad, un script oculto que, una vez ejecutado, se conecta silenciosamente al servidor del atacante.

No se trata de un caso aislado. Otros investigadores han observado que los atacantes utilizan repositorios falsos de GitHub —adornados con descripciones generadas por IA— para propagar un tipo de malware llamado SmartLoader, que a su vez descarga malware destinado a robar contraseñas y monederos electrónicos, como Lumma Stealer. La descarga de EQVita utiliza el mismo método, pero reempaquetado para atraer a los aficionados a los videojuegos retro.

Echa un vistazo a la comparación que aparece a continuación. A la izquierda tenemos un repositorio falso de GitHub y, a la derecha, uno real.

Imagen izquierdaImagen derecha

Hay incluso un pequeño truco en el número de versión. La versión auténtica de EQVita es la 1.10, mientras que la falsa lleva el número 1.3. A simple vista, la 1.3 puede parecer más reciente, pero no lo es. En el mundo del software, la 1.10 viene después de la 1.9, por lo que el proyecto auténtico es el más actualizado. La versión falsa simplemente toma prestado un número que parece más reciente.

¿Por qué esto va dirigido a la comunidad de la Vita?

Si no te gustan las consolas retro, puede que la PS Vita no te diga gran cosa. Pero para una comunidad numerosa y activa, es algo muy importante, y eso la convierte en un objetivo.

Tengo que admitir que le tengo un cariño especial: compré mi propia Vita 1000 de segunda mano hace unos diez años, y sigue funcionando de maravilla. De vez en cuando la saco de la estantería, sobre todo porque su catálogo es tan amplio que siempre hay algo por lo que merece la pena volver a ella. Está claro que no soy el único.

Aunque Sony dejó de fabricar la Vita hace años, los aficionados la han mantenido viva creando su propio software para ella: emuladores, gestores de archivos y complementos. Una Vita modificada puede ejecutar sus propios juegos de PSP a toda velocidad y emular consolas más antiguas como la SNES, la Game Boy Advance y la Sega Genesis, lo que convierte a esta consola portátil en una máquina retro todoterreno. En 2026, la escena está en pleno auge, con desarrolladores activos e incluso concursos de software casero con premios en metálico.

Esa demanda también se refleja en el precio. Al no fabricarse nuevas unidades desde 2019, las Vita que aún funcionan se han convertido en un artículo retro muy codiciado, y los precios de reventa han subido en los principales mercados durante el último año; el modelo OLED más antiguo, muy apreciado por los modders por su firmware, es el que más ha subido. En otras palabras, cada vez hay más gente que compra una Vita específicamente para modificarla, lo que significa que hay más gente buscando plugins y herramientas para instalar.

Ese entusiasmo es precisamente lo que aprovechan los atacantes. Los usuarios de software de desarrollo propio están acostumbrados a descargar archivos de GitHub, guardarlos en carpetas y ejecutarlos. Toda esta afición se basa en confiar en el código de desarrolladores individuales. Los estafadores lo saben, por lo que un «plugin para Vita» falso es una forma fácil de conseguir que la gente ejecute algo que normalmente no haría.

Cómo funciona la estafa

La descarga, EQ_Vita_v1.3.zip, contiene tres archivos:

  • Launch.bat
  • luajit.exe
  • x64.txt

Aquí viene lo ingenioso. luajit.exe es un programa real e inofensivo que ejecuta scripts. El archivo por lotes simplemente le indica que abra x64.txt. A pesar de que .txt nombre, ese archivo no es texto en absoluto: es un script oculto, y LuaJIT lo ejecuta. Al llamarlo .txt Es eso lo que hace que parezca inofensivo y fácil de pasar por alto. Los investigadores encontraron la misma configuración en la campaña SmartLoader: el único archivo peligroso de la descarga es el script camuflado, y todo lo que lo rodea es legítimo.

Así pues, nada de lo que contiene la descarga parece peligroso por sí solo. No hay ningún instalador evidente ni ninguna aplicación que dé miedo, solo una herramienta de confianza que se utiliza para ejecutar el código de otra persona.

Observamos lo que sucedía cuando se ejecutaba. En primer lugar, el script comprobaba en qué parte del mundo se encontraba el ordenador. A continuación, se conectaba discretamente a un servidor de Internet y le enviaba datos, utilizando una dirección web codificada en una cadena de caracteres que parecía carecer de sentido. El servidor respondía.

Un complemento de audio no tiene motivo alguno para hacer nada de eso. Así es como se comporta un «cargador» de malware: se comunica con el servidor del atacante para recibir instrucciones y descargar el siguiente componente del malware. En esta campaña, ese siguiente componente suele ser un «ladrón»: un malware que busca carteras de criptomonedas, contraseñas guardadas en el navegador y códigos de acceso.

Malwarebytes esta amenaza, por lo que se impide que los usuarios protegidos ejecuten el archivo.

Cómo detectar una falsificación

La mayoría de los complementos de Vita se instalan en la Vita mediante herramientas como VitaShell o Autoplugin, y se presentan en formato de archivos Vita (los que terminan en .skprx o .vpk).

Algunas herramientas legítimas del ámbito —instaladores, utilidades de transferencia de archivos, herramientas de compilación— sí funcionan en un PC, por lo que un Windows no tiene por qué ser malo. La clave está en comprobarlo antes de ejecutarlo.

¿Es conocido? ¿Se utiliza mucho? ¿Lo recomiendan fuentes fiables de la comunidad o simplemente lo has encontrado por casualidad en un repositorio que no conoces? Un «plugin» que, discretamente, se apoya en un .bat Un archivo destinado a ejecutar un programa oculto es precisamente lo que esa comprobación pretende detectar.

Hay algunos hábitos que pueden ayudar:

  • Selecciona el archivo adecuado para el dispositivo y comprueba las herramientas del ordenador. La mayoría de los complementos de Vita son archivos de Vita, no Windows . Algunas herramientas legítimas sí se ejecutan en tu PC, así que no te asustes si ves un .exe o .bat, pero comprueba que se trate de una herramienta conocida y de confianza antes de ejecutarla.
  • Desconfía de los mensajes del tipo «Descargar ahora». Los archivos README auténticos de proyectos independientes están escritos para usuarios como otros desarrolladores. En esta campaña, los repositorios falsos se basan en texto generado por IA, que suele parecer un texto de marketing: lleno de emojis, con un tono amistoso y un gran botón de descarga. Un proyecto que te empuja a hacer clic rápidamente merece que lo revises con más detenimiento.
  • Recurre siempre a fuentes fiables. Los foros comunitarios consolidados y las listas de fuentes fiables existen por una razón. Compruébalo antes de descargar nada.
  • Añade otra capa de protección. Malwarebytes Browser Guard ayudarte a bloquear páginas y descargas maliciosas conocidas antes de que lleguen a tu dispositivo.

¿Qué hacer si ya lo has ejecutado?

Si has descargado y ejecutado EQ_Vita_v1.3.zip, debes considerar que el ordenador está infectado. Esto es lo que debes hacer:

  • Realiza un análisis completo en busca de malware con un programa de seguridad actualizado.
  • Dado que esta campaña distribuye malware destinado a robar información, cambia tus contraseñas importantes desde otro dispositivo que no haya sido afectado y comprueba si se han producido inicios de sesión no autorizados en tus cuentas.
  • Si guardas alguna criptomoneda en ese ordenador, transfiere tus fondos utilizando otro dispositivo que no haya sido comprometido y ve alternando tus claves y frases de recuperación.
  • Comprueba la configuración de la autenticación de dos factores (2FA), ya que los ladrones también pueden tener como objetivo los datos de la 2FA.
  • Por último, elimina los tres archivos y denuncia el repositorio de GitHub para que sea retirado.

¿Por qué funciona esta estafa?

Funciona porque no parece una estafa. Se encuentra en GitHub, donde los usuarios de Homebrew ya depositan su confianza. Utiliza una herramienta real e inofensiva para llevar a cabo su trabajo sucio. Y oculta la parte peligrosa dentro de un archivo que parece texto sin formato. Ninguno de esos trucos es ingenioso por sí solo, pero juntos logran eludir con facilidad las comprobaciones rápidas que la mayoría de la gente suele realizar.

Lo que hace que este caso merezca la pena destacar es a quién va dirigido. Las comunidades retro se basan en la buena voluntad: voluntarios que mantienen vivo el hardware antiguo, comparten su trabajo de forma gratuita y avalan las herramientas de los demás. Esa misma confianza es la que aprovecha esta campaña, y cada repositorio falso que se cuela hace que resulte un poco más difícil confiar en el siguiente proyecto auténtico.

La mejor defensa es la que estas comunidades ya tienen: listas de fuentes fiables, wikis consolidadas y personas que prueban las cosas e informan de los resultados. Comprueba de dónde procede un archivo antes de ejecutarlo y, cuando algo no cuadre, dilo. Ese hábito es lo que mantiene la seguridad de la comunidad para todos los que forman parte de ella.

Indicadores de compromiso (IOC)

Dominios

https://github.com/Voistace/EQVita
https://voistace.github.io

IP

85.137.52.21 C2

No nos limitamos a informar de las amenazas: las eliminamos

Los riesgos de ciberseguridad nunca deben propagarse más allá de un titular. Mantenga las amenazas alejadas de sus dispositivos descargando Malwarebytes hoy mismo.

Acerca del autor

Stefan Dasic

Stefan Dasic

Apasionado de las soluciones antivirus, Stefan ha participado desde muy joven en pruebas de malware y control de calidad de productos antivirus. Como parte del equipo de Malwarebytes , Stefan se dedica a proteger a los clientes y garantizar su seguridad.

ÚLTIMOS ARTÍCULOS

Filtraciones de datos
Logotipo de Kodak

Kodak confirma la filtración justo cuando vence el plazo de la amenaza de ShinyHunters

Junio 18, 2026

El gigante de la fotografía confirmó una filtración de datos después de que ShinyHunters afirmara haber sustraído 2,2 millones de registros y amenazara con filtrarlos.

Móvil
Android

Android «Rokarolla» puede tomar el control de tu teléfono y robar tus datos de acceso a la banca

Junio 17, 2026

Unos investigadores han descubierto un troyano Android que ataca a más de 200 aplicaciones bancarias y de criptomonedas y que puede tomar el control de los dispositivos infectados.

Filtraciones de datos
filtración de datos

24 mil millones de registros robados se han filtrado en Internet. Esto es lo que hay que hacer

Junio 17, 2026

Los investigadores han descubierto una base de datos expuesta que contiene 24 mil millones de registros robados, entre los que se incluyen nombres de usuario, contraseñas y otros datos confidenciales de las cuentas.

Añadir como fuente preferida en Google

Artículos relacionados

Icono de colaborador

Colaboradores

Icono del Centro de Amenazas

Centro de amenazas

Icono Podcasts

Podcast

Icono del glosario

Glosario

Icono de estafa

Estafas