Gli appassionati di videogiochi retrò dovrebbero prestare attenzione ai progetti su GitHub che si presentano come strumenti o plugin per le loro console. Gli hacker possono camuffare il normale malware per computer come software “homebrew”, e questa tecnica funziona contro qualsiasi piattaforma retrò con una comunità di modding attiva, non solo contro una singola console.
Di recente abbiamo esaminato un esempio rivolto ai possessori di PlayStation Vita: un progetto fasullo che finge di essere uno strumento audio gratuito, ma che in realtà installa Windows sul computer.
Il progetto, denominato EQVita, sembra un normale plugin creato dall’utente. Presenta un file README ben curato, un download , screenshot e un layout ordinato. Tuttavia, il file download contiene assolutamente nulla per la Vita. Contiene tre Windows e, tra questi, il file di testo dall’aspetto innocuo è in realtà uno script nascosto che, una volta eseguito, si connette silenziosamente al server dell’autore dell’attacco.
Non si tratta di un caso isolato. Altri ricercatori hanno osservato che alcuni hacker utilizzano repository GitHub falsi — corredati da descrizioni generate dall’intelligenza artificiale — per diffondere un tipo di malware chiamato SmartLoader, che a sua volta scarica malware in grado di rubare password e fondi dai portafogli digitali, come Lumma Stealer. Il download di EQVita download lo stesso metodo, riproposto in una veste diversa per attirare gli appassionati di videogiochi retrò.
Date un'occhiata al confronto qui sotto. A sinistra c'è un repository GitHub falso, a destra uno vero.
C'è persino un piccolo trucco nel numero di versione. Il vero EQVita è alla versione 1.10, mentre quello falso è etichettato come 1.3. A prima vista, la 1.3 potrebbe sembrare più recente, ma non lo è. Nel mondo del software, la 1.10 viene dopo la 1.9, quindi il progetto autentico è quello più aggiornato. Quello falso si limita a prendere in prestito un numero che sembra più recente.
Perché questa iniziativa è rivolta alla comunità di Vita
Se non sei un appassionato di console retrò, la PS Vita potrebbe non significare granché per te. Ma per una comunità numerosa e attiva, è una cosa importante, e questo la rende un bersaglio.
Devo ammettere che ho un debole per questo apparecchio: ho comprato la mia Vita 1000 di seconda mano circa dieci anni fa e funziona ancora alla perfezione. Ogni tanto la tiro fuori dallo scaffale, soprattutto perché la sua libreria è così ricca che c’è sempre qualcosa per cui vale la pena tornarci. Evidentemente non sono l’unico.
Sebbene Sony abbia smesso di produrre la Vita anni fa, i fan l’hanno mantenuta in vita sviluppando software personalizzato: emulatori, gestori di file e plugin. Una Vita modificata può eseguire i giochi per PSP alla massima velocità ed emulare sistemi più vecchi come SNES, Game Boy Advance e Sega Genesis, trasformando la console portatile in una macchina retrò tuttofare. Nel 2026 la scena è in pieno fermento, con sviluppatori attivi e persino concorsi di homebrew con premi in denaro.
Questa domanda si riflette anche sul prezzo. Poiché dal 2019 non vengono più prodotti nuovi esemplari, le Vita funzionanti sono diventate un oggetto retrò molto ricercato e, nell’ultimo anno, i prezzi di rivendita sono aumentati su tutte le principali piattaforme di vendita online: il modello OLED più vecchio, apprezzato dai modder per il suo firmware, ha registrato l’aumento maggiore. In altre parole, sempre più persone acquistano una Vita proprio per modificarla, il che significa che sempre più persone sono alla ricerca di plugin e strumenti da installare.
È proprio questo entusiasmo che gli hacker sfruttano. Gli utenti di Homebrew sono abituati a scaricare file da GitHub, salvarli in cartelle ed eseguirli. L’intero hobby si basa sulla fiducia nel codice fornito dai singoli sviluppatori. I truffatori lo sanno bene, quindi un falso “plugin per Vita” è un modo semplice per indurre le persone a eseguire qualcosa che normalmente non farebbero.
Come funziona la truffa
Il download, EQ_Vita_v1.3.zip, contiene tre file:
Launch.batluajit.exex64.txt
Ecco la parte ingegnosa. luajit.exe è un programma vero e proprio, innocuo, che esegue script. Il file batch gli dice semplicemente di aprire x64.txt. Nonostante il .txt nome, quel file non è affatto un file di testo: è uno script nascosto, ed è LuaJIT a eseguirlo. Richiamandolo .txt è proprio questo che lo fa sembrare innocuo e facile da ignorare. I ricercatori hanno riscontrato la stessa configurazione nella campagna SmartLoader: l’unico file pericoloso nel download lo script camuffato, mentre tutto il resto è legittimo.
Quindi, di per sé, nulla in questo download pericoloso. Non c’è alcun programma di installazione evidente né alcuna app dall’aspetto minaccioso: si tratta semplicemente di uno strumento affidabile utilizzato per eseguire il codice di qualcun altro.
Abbiamo osservato cosa succedeva durante l'esecuzione. Innanzitutto, lo script ha verificato in quale parte del mondo si trovasse il computer. Poi ha contattato silenziosamente un server su Internet e gli ha inviato dei dati, utilizzando un indirizzo web codificato in una stringa apparentemente priva di significato. Il server ha risposto.
Un plugin audio non ha alcun motivo di fare nulla di tutto ciò. Ecco come si comporta un “loader” di malware: si connette al server dell’autore dell’attacco per ricevere istruzioni e scaricare il successivo componente del malware. In questa campagna, tale componente è solitamente uno “stealer”, ovvero un malware che va a caccia di portafogli di criptovalute, password salvate nel browser e codici di accesso.
Malwarebytes questa minaccia, impedendo così agli utenti protetti di eseguire il file.
Come riconoscere i falsi
La maggior parte dei plugin per Vita viene installata sulla console stessa utilizzando strumenti come VitaShell o Autoplugin, e si presenta sotto forma di file Vita (quelli che terminano con .skprx o .vpk).
Alcuni strumenti legittimi presenti in questo ambito — programmi di installazione, strumenti di trasferimento file, strumenti di compilazione — funzionano effettivamente su un PC, quindi un Windows non è automaticamente dannoso. L’importante è verificare prima di eseguirlo.
È ben noto? È ampiamente utilizzato? È raccomandato da fonti affidabili della comunità, o ti sei semplicemente imbattuto in esso in un repository che non conoscevi? Un “plugin” che si appoggia silenziosamente a un .bat Un file che avvia un programma nascosto è proprio ciò che quel controllo è destinato a individuare.
Alcune abitudini possono essere d'aiuto:
- Abbinare il file al dispositivo e verificare gli strumenti del PC. La maggior parte dei plugin per Vita sono file Vita, non Windows . Alcuni strumenti legittimi funzionano sul tuo PC, quindi non farti prendere dal panico se...
.exeo.bat, ma assicurati che si tratti di uno strumento ben noto e affidabile prima di eseguirlo. - Diffidate dei messaggiDownload I veri file README dei progetti homebrew sono scritti per utenti come gli altri sviluppatori. In questa campagna, i repository falsi si basano su testi generati dall’intelligenza artificiale, che tendono ad avere lo stile tipico del marketing: ricchi di emoji, con un tono amichevole e un grande download . Un progetto che vi spinge a cliccare in fretta merita un’ulteriore valutazione.
- Affidati a fonti attendibili. I forum di comunità consolidati e gli elenchi di fonti attendibili esistono per un motivo. Verifica prima di download.
- Aggiungi un ulteriore livello di protezione. Malwarebytes Browser Guard aiutarti a bloccare pagine e download dannosi già noti prima che ti raggiungano.
Cosa fare se l'hai già eseguito
Se hai scaricato ed eseguito EQ_Vita_v1.3.zip, è opportuno considerare il computer come compromesso. Ecco cosa fare:
- Esegui una scansione completa alla ricerca di malware utilizzando un software di sicurezza aggiornato.
- Poiché questa campagna diffonde malware finalizzato al furto di informazioni, modifica le tue password importanti utilizzando un dispositivo diverso e non infetto, e controlla i tuoi account per verificare che non vi siano accessi non autorizzati.
- Se su quel computer sono presenti criptovalute, trasferisci i tuoi fondi utilizzando un dispositivo diverso e non compromesso, e cambia periodicamente le tue chiavi e le tue frasi di seed.
- Controlla le impostazioni dell'autenticazione a due fattori (2FA), poiché i malintenzionati possono prendere di mira anche i dati relativi alla 2FA.
- Infine, elimina i tre file e segnala il repository GitHub affinché venga rimosso.
Perché questa truffa funziona
Funziona perché non sembra una truffa. Si trova su GitHub, dove gli utenti di Homebrew ripongono già la loro fiducia. Utilizza uno strumento reale e innocuo per compiere le sue azioni dannose. E nasconde la parte pericolosa all’interno di un file che sembra semplice testo. Nessuno di questi stratagemmi è ingegnoso di per sé, ma insieme riescono a eludere facilmente i controlli sommari che la maggior parte delle persone effettua.
Ciò che rende questo caso degno di nota è il suo obiettivo. Le comunità retrò si basano sulla buona volontà: volontari che mantengono in vita il vecchio hardware, condividono gratuitamente il proprio lavoro e garantiscono per gli strumenti degli altri. È proprio quella fiducia che questa campagna sfrutta, e ogni repository falso che riesce a passare inosservato rende un po’ più difficile fidarsi del progetto autentico successivo.
La migliore difesa è quella di cui queste comunità dispongono già: elenchi di fonti affidabili, wiki consolidati e persone che testano i programmi e ne segnalano i risultati. Verificate la provenienza di un file prima di eseguirlo e, se qualcosa non quadra, segnalatelo. È proprio questa abitudine a garantire la sicurezza della comunità per tutti coloro che ne fanno parte.
Indicatori di compromesso (IOC)
Domini
https://github.com/Voistace/EQVita
https://voistace.github.io
IP
85.137.52.21 C2
Non ci limitiamo a segnalare le minacce, ma le eliminiamo.
I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.
