Wiadomości, informacje o zagrożeniach

Fani gier retro to nowa grupa docelowa fałszywego złośliwego oprogramowania na GitHubie

autor: Stefan Dasic | 18 czerwca 2026 r.
Zbliżenie na dłonie mężczyzny grającego na PlayStation Vita
Dodaj jako preferowane źródło w Google

Fani gier retro powinni zachować ostrożność w przypadku projektów na GitHubie, które podają się za narzędzia lub wtyczki do ich konsol. Atakujący mogą zamaskować zwykłe złośliwe oprogramowanie komputerowe jako oprogramowanie typu „homebrew”, a technika ta sprawdza się w przypadku każdej platformy retro, na której istnieje aktywna społeczność modderów – nie tylko jednej konsoli.

Niedawno przyjrzeliśmy się jednemu z przykładów skierowanemu do posiadaczy konsoli PlayStation Vita: fałszywemu projektowi, który udaje darmowe narzędzie audio, a w rzeczywistości uruchamia na komputerze Windows .

Projekt o nazwie EQVita wygląda jak zwykła wtyczka stworzona przez użytkownika. Posiada dopracowany plik README, przycisk pobierania, zrzuty ekranu oraz przejrzysty układ. Jednak pobrany plik w ogóle nie zawiera żadnych elementów przeznaczonych dla konsoli Vita. Zawiera trzy Windows , a jeden z nich – niewinnie wyglądający plik tekstowy – jest w rzeczywistości ukrytym skryptem, który po uruchomieniu po cichu łączy się z serwerem atakującego.

Nie jest to odosobniony przypadek. Inni badacze zaobserwowali, że cyberprzestępcy wykorzystują fałszywe repozytoria na GitHubie — opatrzone opisami wygenerowanymi przez sztuczną inteligencję — do rozpowszechniania złośliwego oprogramowania o nazwie SmartLoader, które następnie pobiera oprogramowanie kradnące hasła i środki z portfeli, takie jak Lumma Stealer. Plik do pobrania EQVita wykorzystuje tę samą metodę, ale został przepakowany tak, by przyciągnąć uwagę fanów gier retro.

Spójrz na poniższe porównanie. Po lewej stronie mamy fałszywe repozytorium na GitHubie, a po prawej – prawdziwe.

Lewy obrazPrawy obraz

W numerze wersji kryje się nawet mały trik. Prawdziwa wersja EQVita ma numer 1.10, podczas gdy fałszywa jest oznaczona jako 1.3. Na pierwszy rzut oka wersja 1.3 może wydawać się nowsza — ale tak nie jest. W oprogramowaniu wersja 1.10 następuje po wersji 1.9, więc to właśnie prawdziwy projekt jest bardziej aktualny. Fałszywa wersja po prostu wykorzystuje numer, który wygląda na aktualny.

Dlaczego ta inicjatywa jest skierowana do społeczności użytkowników konsoli Vita

Jeśli nie interesują Cię konsole retro, PS Vita może nie mieć dla Ciebie większego znaczenia. Jednak dla dużej i aktywnej społeczności to poważna sprawa, co sprawia, że staje się ona celem ataków.

Przyznaję, że mam do tego słabość: kupiłem swoją konsolę Vita 1000 z drugiej ręki jakieś dziesięć lat temu i nadal działa bez zarzutu. Od czasu do czasu wyjmuję ją z półki, głównie dlatego, że biblioteka gier jest tak bogata, że zawsze znajdzie się coś, do czego warto wrócić. Najwyraźniej nie jestem w tym odosobniony.

Mimo że firma Sony już wiele lat temu zaprzestała produkcji konsoli Vita, fani podtrzymują jej popularność, tworząc dla niej własne oprogramowanie: emulatory, menedżery plików i wtyczki. Zmodyfikowana konsola Vita może uruchamiać gry na PSP z pełną prędkością oraz emulować starsze systemy, takie jak SNES, Game Boy Advance i Sega Genesis, co sprawia, że to przenośne urządzenie staje się wszechstronną konsolą retro. W 2026 roku scena ta kwitnie, a aktywni programiści organizują nawet konkursy na oprogramowanie własnoręcznie tworzone z nagrodami pieniężnymi.

Popyt ten znajduje również odzwierciedlenie w cenie. Ponieważ od 2019 roku nie produkowano już nowych egzemplarzy, sprawne konsole Vita stały się poszukiwanym przedmiotem retro, a ceny na rynku wtórnym wzrosły w ciągu ostatniego roku na wszystkich głównych platformach handlowych — najsilniejszy wzrost odnotowano w przypadku starszego modelu z wyświetlaczem OLED, cenionego przez modderów ze względu na oprogramowanie sprzętowe. Innymi słowy, więcej osób niż kiedykolwiek kupuje konsolę Vita specjalnie w celu jej modyfikacji, co oznacza, że więcej osób poszukuje wtyczek i narzędzi do instalacji.

Właśnie ten entuzjazm wykorzystują cyberprzestępcy. Użytkownicy oprogramowania własnej roboty są przyzwyczajeni do pobierania plików z serwisu GitHub, umieszczania ich w folderach i uruchamiania. Całe to hobby opiera się na zaufaniu do kodu tworzonego przez indywidualnych programistów. Oszuści doskonale o tym wiedzą, więc fałszywa „wtyczka do Vita” to prosty sposób na skłonienie ludzi do uruchomienia czegoś, czego normalnie by nie uruchomili.

Jak działa oszustwo

Pobieranie, EQ_Vita_v1.3.zip, zawiera trzy pliki:

  • Launch.bat
  • luajit.exe
  • x64.txt

A oto najciekawsza część. luajit.exe to prawdziwy, nieszkodliwy program służący do uruchamiania skryptów. Plik wsadowy po prostu nakazuje mu otwarcie x64.txt. Pomimo .txt nazwa, ten plik wcale nie jest plikiem tekstowym — to ukryty skrypt, który uruchamia LuaJIT. Wywołanie go .txt To właśnie sprawia, że wygląda to na nieszkodliwe i łatwo to przeoczyć. Naukowcy odkryli ten sam schemat w kampanii SmartLoader: jedynym niebezpiecznym plikiem w pobranym pakiecie jest zamaskowany skrypt, a wszystko wokół niego jest legalne.

Więc sam w sobie żaden z pobranych plików nie wygląda na niebezpieczny. Nie ma tu żadnego oczywistego instalatora ani aplikacji, która budziłaby obawy — jest tylko zaufane narzędzie służące do uruchamiania kodu stworzonego przez kogoś innego.

Obserwowaliśmy, co się działo podczas jego działania. Najpierw skrypt sprawdził, w której części świata znajdował się komputer. Następnie po cichu nawiązał połączenie z serwerem w Internecie i wysłał do niego dane, wykorzystując adres internetowy zaszyfrowany w postaci ciągu znaków, który wyglądał na bezsensowny. Serwer odpowiedział.

Wtyczka audio nie ma żadnego powodu, by cokolwiek z tego robić. Tak właśnie zachowuje się „loader” złośliwego oprogramowania: nawiązuje połączenie z serwerem atakującego, aby otrzymać instrukcje i pobrać kolejny element złośliwego oprogramowania. W tej kampanii tym kolejnym elementem jest zazwyczaj program wykradający dane — złośliwe oprogramowanie, które wyszukuje portfele kryptowalutowe, zapisane hasła przeglądarki oraz kody logowania.

Malwarebytes to zagrożenie, dzięki czemu chronieni użytkownicy są zabezpieczeni, zanim plik zdąży się uruchomić.

Jak rozpoznać podróbkę

Większość wtyczek dla Vita instaluje się na konsoli Vita za pomocą narzędzi takich jak VitaShell czy Autoplugin, a są one dostępne w postaci plików Vita (tych, których rozszerzenie to .skprx lub .vpk).

Niektóre legalne narzędzia stosowane w tej społeczności — instalatory, programy ułatwiające przesyłanie plików, narzędzia do kompilacji — faktycznie działają na komputerach PC, więc Windows niekoniecznie jest zły. Najważniejsze jest, aby sprawdzić to przed uruchomieniem.

Czy jest to rozwiązanie powszechnie znane? Czy jest szeroko stosowane? Czy jest polecane przez zaufane źródła społecznościowe, czy też po prostu natknąłeś się na nie w nieznanym repozytorium? „Wtyczka”, która po cichu opiera się na .bat Plik służący do uruchomienia ukrytego programu jest właśnie tym, co ma wykryć to sprawdzenie.

Pomocne jest kilka nawyków:

  • Dopasuj plik do urządzenia i sprawdź działanie narzędzi komputerowych. Większość wtyczek Vita to pliki Vita, a nie Windows . Niektóre legalne narzędzia działają jednak na komputerze, więc nie panikuj, gdy .exe lub .bat, ale przed uruchomieniem upewnij się, że jest to znane i sprawdzone narzędzie.
  • Uważaj na polskie wersje z napisem „Pobierz teraz”. Prawdziwe pliki README w projektach homebrew są pisane z myślą o użytkownikach, takich jak inni programiści. W tej kampanii fałszywe repozytoria opierają się na tekstach generowanych przez sztuczną inteligencję, które często brzmią jak teksty marketingowe: pełne emotikonów, przyjaznych sformułowań i dużego przycisku pobierania. Projekt, który naciska na szybkie kliknięcie, zasługuje na dokładniejsze przyjrzenie się.
  • Korzystaj wyłącznie ze sprawdzonych źródeł. Renomowane serwisy społecznościowe i listy sprawdzonych źródeł istnieją nie bez powodu. Przed pobraniem sprawdź źródło.
  • Zadbaj o dodatkową warstwę ochrony. Malwarebytes Browser Guard blokować znane złośliwe strony i pliki do pobrania, zanim dotrą do Ciebie.

Co zrobić, jeśli już to uruchomiłeś

Jeśli pobrałeś i uruchomiłeś EQ_Vita_v1.3.zip, należy uznać, że komputer został zainfekowany. Oto, co należy zrobić:

  • Przeprowadź pełne skanowanie w poszukiwaniu złośliwego oprogramowania przy użyciu aktualnego oprogramowania zabezpieczającego.
  • Ponieważ ta kampania rozprzestrzenia złośliwe oprogramowanie służące do kradzieży danych, należy zmienić ważne hasła, korzystając z innego, „czystego” urządzenia, oraz sprawdzić swoje konta pod kątem nieautoryzowanych logowań.
  • Jeśli przechowujesz jakiekolwiek kryptowaluty na tym komputerze, przenieś swoje środki za pomocą innego, „czystego” urządzenia oraz stosuj rotację kluczy i fraz seedowych.
  • Sprawdź ustawienia uwierzytelniania dwuskładnikowego (2FA), ponieważ hakerzy mogą również atakować dane związane z 2FA.
  • Na koniec usuń te trzy pliki i zgłoś repozytorium na GitHubie, aby zostało usunięte.

Dlaczego to oszustwo się sprawdza

Działa to, bo nie wygląda na oszustwo. Znajduje się na GitHubie, gdzie użytkownicy Homebrewa już pokładają swoje zaufanie. Wykorzystuje prawdziwe, nieszkodliwe narzędzie do wykonywania swoich niecnych działań. A niebezpieczną część ukrywa w pliku, który wygląda jak zwykły tekst. Żadna z tych sztuczek nie jest sama w sobie sprytna, ale razem pozwalają one z łatwością ominąć pobieżne kontrole, które faktycznie przeprowadza większość ludzi.

To, co sprawia, że warto zwrócić na to uwagę, to grupa docelowa tej kampanii. Społeczności retro opierają się na dobrej woli — wolontariuszy, którzy utrzymują stary sprzęt w dobrym stanie, dzielą się swoją pracą za darmo i ręczą za narzędzia innych. Ta kampania wykorzystuje właśnie to zaufanie, a każde fałszywe repozytorium, które się przedostaje, sprawia, że coraz trudniej jest zaufać kolejnemu autentycznemu projektowi.

Najlepszą obroną jest to, co te społeczności już mają: listy zaufanych źródeł, uznane wiki oraz osoby, które testują oprogramowanie i dzielą się swoimi spostrzeżeniami. Przed uruchomieniem pliku sprawdź, skąd pochodzi, a jeśli coś wydaje się podejrzane, zgłoś to. To właśnie ten nawyk sprawia, że środowisko to jest bezpieczne dla wszystkich jego członków.

Wskaźniki kompromisu (IOC)

Domeny

https://github.com/Voistace/EQVita
https://voistace.github.io

IP

85.137.52.21 C2

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

O autorze

Stefan Dasic

Stefan Dasic

Pasjonat rozwiązań antywirusowych, Stefan od najmłodszych lat zajmuje się testowaniem złośliwego oprogramowania i kontrolą jakości produktów AV. Jako członek zespołu Malwarebytes , Stefan jest oddany ochronie klientów i zapewnianiu im bezpieczeństwa.

NAJNOWSZE ARTYKUŁY

Naruszenia danych
Logo firmy Kodak

Firma Kodak potwierdza naruszenie bezpieczeństwa w momencie, gdy upływa termin wyznaczonego przez ShinyHunters na ujawnienie danych

Czerwiec 18, 2026

Ten gigant branży fotograficznej potwierdził wyciek danych po tym, jak grupa ShinyHunters ogłosiła, że wykradła 2,2 mln rekordów i zagroziła ich upublicznieniem.

Mobilny
Android

Android Rokarolla Android może przejąć kontrolę nad telefonem i wykraść dane logowania do serwisów bankowych

Czerwiec 17, 2026

Naukowcy wykryli trojana Android , który atakuje ponad 200 aplikacji bankowych i związanych z kryptowalutami oraz może przejąć kontrolę nad zainfekowanymi urządzeniami.

Naruszenia danych
naruszenie bezpieczeństwa danych

24 miliardy skradzionych danych ujawniono w sieci. Oto, co należy zrobić

Czerwiec 17, 2026

Naukowcy odkryli publicznie dostępny zbiór 24 miliardów skradzionych rekordów, zawierający nazwy użytkowników, hasła oraz inne poufne dane dotyczące kont.

Dodaj jako preferowane źródło w Google

Powiązane artykuły

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa