Actualités, informations sur les menaces

Les amateurs de jeux rétro constituent la nouvelle cible d'un faux logiciel malveillant sur GitHub

par Stefan Dasic | 18 juin 2026
Gros plan sur les mains d'un homme jouant à la PlayStation Vita
Ajouter comme source préférée sur Google

Les amateurs de jeux rétro doivent se méfier des projets GitHub qui se présentent comme des outils ou des plugins destinés à leurs consoles. Les pirates peuvent faire passer des logiciels malveillants courants pour des logiciels « homebrew », et cette technique fonctionne contre n’importe quelle plateforme rétro bénéficiant d’une communauté de moddeurs active, et pas seulement contre une seule console.

Nous avons récemment examiné un exemple destiné aux possesseurs de PlayStation Vita : un faux projet qui se présente comme un outil audio gratuit, mais qui, en réalité, installe Windows sur votre ordinateur.

Le projet, baptisé EQVita, ressemble à un plugin « homebrew » tout à fait ordinaire. Il comporte un fichier README soigné, un bouton de téléchargement, des captures d’écran et une mise en page soignée. Mais le fichier que vous téléchargez ne contient absolument rien destiné à la Vita. Il contient trois Windows , et le fichier texte qui semble inoffensif est en réalité un script caché qui se connecte discrètement au serveur de l’attaquant dès que vous l’exécutez.

Ce n’est pas un cas isolé. D’autres chercheurs ont observé que des pirates utilisaient de faux dépôts GitHub — agrémentés de descriptions générées par l’IA — pour diffuser un type de logiciel malveillant appelé SmartLoader, qui télécharge ensuite des logiciels malveillants destinés à voler des mots de passe et des portefeuilles numériques, tels que Lumma Stealer. Le téléchargement d’EQVita utilise la même méthode, repensée pour séduire les amateurs de jeux rétro.

Jetez un œil à la comparaison ci-dessous. À gauche, vous avez un faux dépôt GitHub, et à droite, un vrai.

Image de gaucheImage de droite

Il y a même une petite astuce dans le numéro de version. La véritable version d’EQVita est la 1.10, tandis que la contrefaçon porte le numéro 1.3. À première vue, la version 1.3 peut sembler plus récente, mais ce n’est pas le cas. En matière de logiciels, la version 1.10 vient après la 1.9 ; le véritable projet est donc le plus récent. La contrefaçon se contente d’emprunter un numéro qui semble plus récent.

Pourquoi cela s'adresse-t-il à la communauté Vita ?

Si vous n'êtes pas fan des consoles rétro, la PS Vita ne vous dit peut-être pas grand-chose. Mais pour une communauté nombreuse et active, c'est un sujet important, ce qui en fait une cible.

Je dois avouer que j’ai un petit faible pour cette console : j’ai acheté ma Vita 1000 d’occasion il y a environ dix ans, et elle fonctionne toujours à merveille. Je la sors de temps en temps, surtout parce que son catalogue est tellement riche qu’il y a toujours quelque chose qui vaut la peine d’y revenir. Je ne suis manifestement pas le seul dans ce cas.

Même si Sony a cessé de fabriquer la Vita il y a plusieurs années, les fans l’ont maintenue en vie en développant leurs propres logiciels pour la console : émulateurs, gestionnaires de fichiers et plugins. Une Vita modifiée peut faire tourner ses propres jeux PSP à pleine vitesse et émuler d’anciennes consoles comme la SNES, la Game Boy Advance et la Sega Genesis, ce qui transforme cette console portable en une machine rétro polyvalente. En 2026, la scène est en plein essor, avec des développeurs actifs et même des concours de jeux « homebrew » dotés de prix en argent.

Cette demande se répercute également sur le prix. Aucune nouvelle console n’ayant été fabriquée depuis 2019, les Vita en état de marche sont devenues des objets rétro très recherchés, et les prix de revente ont grimpé sur les principales plateformes de vente au cours de l’année écoulée — c’est l’ancien modèle OLED, très prisé par les moddeurs pour son firmware, qui a connu la plus forte hausse. En d’autres termes, de plus en plus de personnes achètent une Vita dans le but précis de la modifier, ce qui signifie que de plus en plus de personnes recherchent des plugins et des outils à installer.

C’est précisément cet enthousiasme dont profitent les pirates. Les utilisateurs de logiciels maison ont l’habitude de télécharger des fichiers depuis GitHub, de les placer dans des dossiers et de les exécuter. Ce loisir repose entièrement sur la confiance accordée au code fourni par des développeurs indépendants. Les escrocs le savent bien : un faux « plugin Vita » est donc un moyen facile d’amener les gens à exécuter quelque chose qu’ils ne feraient pas en temps normal.

Comment fonctionne l'escroquerie

Le téléchargement, EQ_Vita_v1.3.zip, contient trois fichiers :

  • Launch.bat
  • luajit.exe
  • x64.txt

Et voilà où réside toute l'astuce. luajit.exe est un programme réel et inoffensif qui exécute des scripts. Le fichier batch lui demande simplement d'ouvrir x64.txt. Malgré le .txt nom, ce fichier n'est pas du tout un fichier texte : c'est un script caché, et LuaJIT l'exécute. En l'appelant .txt C'est ce qui lui donne un aspect inoffensif et incite à passer outre sans y prêter attention. Les chercheurs ont découvert la même configuration dans la campagne SmartLoader : le seul fichier dangereux dans le téléchargement est le script déguisé, tandis que tout le reste est légitime.

En somme, rien dans le fichier téléchargé ne semble dangereux en soi. Il n'y a pas de programme d'installation évident ni d'application qui ferait peur : il s'agit simplement d'un outil fiable utilisé pour exécuter le code d'un tiers.

Nous avons observé ce qui se passait lors de son exécution. Tout d'abord, le script a vérifié où se trouvait l'ordinateur dans le monde. Ensuite, il a discrètement contacté un serveur sur Internet et lui a envoyé des données, en utilisant une adresse Web cryptée sous la forme d'une chaîne de caractères apparemment dénuée de sens. Le serveur a répondu.

Un plugin audio n’a aucune raison de faire quoi que ce soit de tout cela. Voici comment se comporte un « chargeur » de logiciel malveillant : il contacte le serveur de l’attaquant pour recevoir des instructions et récupérer le prochain élément du logiciel malveillant. Dans cette campagne, ce prochain élément est généralement un « stealer », c’est-à-dire un logiciel malveillant qui recherche les portefeuilles de cryptomonnaies, les mots de passe enregistrés dans le navigateur et les codes d’accès.

Malwarebytes cette menace ; ainsi, les utilisateurs protégés sont mis hors de danger avant même que le fichier ne puisse s'exécuter.

Comment repérer les contrefaçons

La plupart des plugins Vita sont installés sur la Vita à l'aide d'outils tels que VitaShell ou Autoplugin, et se présentent sous forme de fichiers Vita (ceux dont l'extension se termine par .skprx ou .vpk).

Certains outils légitimes de la scène — programmes d'installation, utilitaires de transfert de fichiers, outils de compilation — fonctionnent bel et bien sur un PC ; un Windows n'est donc pas forcément malveillant. L'essentiel est de vérifier avant de l'exécuter.

Est-ce un outil bien connu ? Est-il largement utilisé ? Est-il recommandé par des sources fiables au sein de la communauté, ou êtes-vous simplement tombé dessus par hasard dans un dépôt que vous ne connaissez pas ? Un « plugin » qui s'appuie discrètement sur un .bat Un fichier destiné à lancer un programme caché est précisément ce que ce contrôle est censé détecter.

Certaines habitudes peuvent s'avérer utiles :

  • Associez le fichier à l'appareil et vérifiez les outils du PC. La plupart des plugins Vita sont des fichiers Vita, et non Windows . Certains outils légitimes fonctionnent toutefois sur votre PC, alors ne paniquez pas si vous voyez un .exe ou .bat, mais assurez-vous qu'il s'agit d'un outil reconnu et fiable avant de l'exécuter.
  • Méfiez-vous des messages du type « Télécharger maintenant ». Les véritables fichiers README de projets « homebrew » s’adressent aux utilisateurs comme s’ils s’adressaient à d’autres développeurs. Dans cette campagne, les faux dépôts s’appuient sur du texte généré par l’IA, qui ressemble souvent à du texte marketing : beaucoup d’émojis, un ton amical et un gros bouton de téléchargement. Un projet qui vous pousse à cliquer rapidement mérite qu’on y jette un second coup d’œil.
  • Privilégiez les sources fiables. Les plateformes communautaires reconnues et les listes de sources fiables existent pour une bonne raison. Vérifiez bien avant de télécharger.
  • Ajoutez une couche de protection supplémentaire. Malwarebytes Browser Guard vous aider à bloquer les pages et les téléchargements malveillants connus avant qu'ils ne vous atteignent.

Que faire si vous l'avez déjà exécuté ?

Si vous avez téléchargé et exécuté EQ_Vita_v1.3.zip, vous devez considérer que l'ordinateur a été piraté. Voici la marche à suivre :

  • Lancez une analyse complète à la recherche de logiciels malveillants à l'aide d'un logiciel de sécurité à jour.
  • Étant donné que cette campagne diffuse des logiciels malveillants destinés à voler des informations, modifiez vos mots de passe importants à partir d'un autre appareil non infecté et vérifiez que vos comptes n'ont pas fait l'objet de connexions non autorisées.
  • Si vous conservez des cryptomonnaies sur cet ordinateur, transférez vos fonds à l'aide d'un autre appareil « propre » et alternez l'utilisation de vos clés et de vos phrases de récupération.
  • Vérifiez vos paramètres d'authentification à deux facteurs (2FA), car les pirates peuvent également cibler les données liées à la 2FA.
  • Enfin, supprimez les trois fichiers et signalez le dépôt GitHub afin qu'il puisse être supprimé.

Pourquoi cette arnaque fonctionne

Ça marche parce que ça n’a pas l’air d’une arnaque. Le programme est hébergé sur GitHub, une plateforme à laquelle les utilisateurs de Homebrew font déjà confiance. Il utilise un véritable outil inoffensif pour faire son sale boulot. Et il dissimule la partie dangereuse dans un fichier qui ressemble à du texte brut. Aucune de ces astuces n’est particulièrement ingénieuse en soi, mais combinées, elles parviennent à échapper aux vérifications sommaires que la plupart des gens effectuent.

Ce qui rend ce cas particulièrement notable, c’est sa cible. Les communautés rétro fonctionnent grâce à la bonne volonté de bénévoles qui entretiennent du matériel ancien, partagent gratuitement leur travail et se portent garants des outils des uns et des autres. C’est précisément cette confiance que cette campagne exploite, et chaque faux dépôt qui parvient à se faufiler rend le projet authentique suivant un peu plus difficile à croire.

La meilleure défense, c'est celle dont disposent déjà ces communautés : des listes de sources fiables, des wikis bien établis et des personnes qui testent les fichiers et font part de leurs conclusions. Vérifiez la provenance d'un fichier avant de l'exécuter, et si quelque chose ne vous semble pas normal, signalez-le. C'est cette habitude qui permet de garantir la sécurité de la communauté pour tous ses membres.

Indicateurs de compromis (IOC)

Domaines

https://github.com/Voistace/EQVita
https://voistace.github.io

IP

85.137.52.21 C2

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Stefan Dasic

Stefan Dasic

Passionné par les solutions antivirus, Stefan a été impliqué très tôt dans les tests de logiciels malveillants et l'assurance qualité des produits AV. Au sein de l'équipe Malwarebytes , Stefan se consacre à la protection des clients et à la garantie de leur sécurité.

DERNIERS ARTICLES

Insectes
Logo de Microsoft Defender

Microsoft travaille actuellement à la correction de « RoguePlanet », une faille permettant de prendre le contrôle total d'un PC

Juin 18, 2026

Microsoft indique qu'il travaille actuellement à la résolution d'une faille de sécurité non corrigée dans Defender, susceptible de permettre à des pirates d'obtenir un accès de niveau maximal sous Windows.

Actualités
Gros plan sur les mains d'un homme jouant à la PlayStation Vita

Les amateurs de jeux rétro constituent la nouvelle cible d'un faux logiciel malveillant sur GitHub

Juin 18, 2026

Les amateurs de jeux rétro devraient se méfier des projets GitHub qui se présentent comme des outils ou des extensions pour leurs consoles. Nous avons examiné un exemple destiné aux possesseurs de PlayStation Vita.

Violations de données
Logo Kodak

Kodak confirme la violation de données alors que la date limite fixée par ShinyHunters pour la divulgation des informations arrive à échéance

Juin 18, 2026

Le géant de la photographie a confirmé une fuite de données après que le groupe ShinyHunters a affirmé avoir dérobé 2,2 millions d'enregistrements et menacé de les divulguer.

Ajouter comme source préférée sur Google

Articles connexes

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries