Notícias, Informações sobre ameaças

Os fãs de jogos retro são o novo alvo de malware falso no GitHub

por Stefan Dasic | 18 de junho de 2026
Grande plano das mãos de um homem a jogar na PlayStation Vita
Adicionar como fonte preferencial no Google

Os fãs de jogos retro devem ter cuidado com projetos do GitHub que afirmam ser ferramentas ou plug-ins para as suas consolas. Os atacantes podem disfarçar malware comum de computador como software «homebrew», e esta técnica funciona contra qualquer plataforma retro com uma comunidade de modding ativa, não apenas contra uma única consola.

Recentemente, analisámos um exemplo dirigido aos proprietários da PlayStation Vita: um projeto falso que finge ser uma ferramenta de áudio gratuita, mas que, na realidade, instala Windows no computador.

O projeto, denominado EQVita, parece um plugin caseiro normal. Tem um ficheiro README bem elaborado, um botão de download, capturas de ecrã e um layout organizado. Mas o ficheiro que se descarrega não contém absolutamente nada para a Vita. Contém três Windows , e o ficheiro de texto que parece inofensivo é, na verdade, um script oculto que se liga discretamente ao servidor do atacante assim que é executado.

Este não é um caso isolado. Outros investigadores observaram que os atacantes utilizam repositórios falsos no GitHub — com descrições geradas por IA — para disseminar um tipo de malware chamado SmartLoader, que, por sua vez, descarrega malware destinado a roubar palavras-passe e carteiras digitais, como o Lumma Stealer. O download do EQVita utiliza o mesmo método, reformulado para atrair os fãs de jogos retro.

Dá uma vista de olhos à comparação abaixo. À esquerda temos um repositório falso do GitHub e, à direita, um verdadeiro.

Imagem à esquerdaImagem direita

Há até um pequeno truque no número da versão. O EQVita verdadeiro está na versão 1.10, enquanto o falso está identificado como 1.3. À primeira vista, a versão 1.3 pode parecer mais recente — mas não é. No mundo do software, a versão 1.10 vem depois da 1.9, pelo que o projeto verdadeiro é o mais atualizado. O falso limita-se a usar um número que parece mais recente.

Por que é que isto se destina à comunidade da Vita?

Se não és fã de consolas retro, a PS Vita pode não significar grande coisa para ti. Mas, para uma comunidade numerosa e ativa, é algo muito importante, e isso torna-a um alvo.

Tenho de admitir que tenho um fraquinho por isto: comprei a minha própria Vita 1000 em segunda mão há cerca de dez anos e continua a funcionar na perfeição. De vez em quando, tiro-a da prateleira, sobretudo porque a coleção é tão vasta que há sempre algo que vale a pena voltar a jogar. É evidente que não sou o único.

Apesar de a Sony ter deixado de fabricar a Vita há anos, os fãs mantiveram-na viva ao criarem o seu próprio software para a consola: emuladores, gestores de ficheiros e plugins. Uma Vita modificada consegue executar os seus próprios jogos de PSP à velocidade máxima e emular consolas mais antigas, como a SNES, a Game Boy Advance e a Sega Genesis, o que transforma a consola portátil numa máquina retro multifuncional. Em 2026, a comunidade está em pleno crescimento, com programadores ativos e até concursos de software caseiro com prémios em dinheiro.

Essa procura reflete-se também no preço. Como não são fabricadas novas unidades desde 2019, as Vitas em bom estado tornaram-se um artigo retro muito procurado, e os preços de revenda subiram nos principais mercados ao longo do último ano — o modelo OLED mais antigo, muito apreciado pelos modders devido ao seu firmware, foi o que registou a maior subida. Por outras palavras, há mais pessoas do que nunca a comprar uma Vita especificamente para a modificar, o que significa que há mais pessoas à procura de plugins e ferramentas para instalar.

É precisamente esse entusiasmo que os atacantes exploram. Os utilizadores de software caseiro estão habituados a descarregar ficheiros do GitHub, colocá-los em pastas e executá-los. Todo este passatempo assenta na confiança no código de programadores independentes. Os burlões sabem disso, pelo que um «plugin para a Vita» falso é uma forma fácil de levar as pessoas a executar algo que, normalmente, não fariam.

Como funciona o esquema

O download, EQ_Vita_v1.3.zip, contém três ficheiros:

  • Launch.bat
  • luajit.exe
  • x64.txt

Eis a parte engenhosa. luajit.exe é um programa real e inofensivo que executa scripts. O ficheiro batch limita-se a indicar-lhe que abra x64.txt. Apesar do .txt nome, esse ficheiro não é de todo texto — é um script oculto, e o LuaJIT executa-o. Ao chamá-lo .txt é o que faz com que pareça inofensivo e fácil de ignorar. Os investigadores descobriram a mesma configuração na campanha SmartLoader: o único ficheiro perigoso no download é o script disfarçado, e tudo o resto é legítimo.

Portanto, nada no ficheiro descarregado parece perigoso por si só. Não há nenhum instalador óbvio nem nenhuma aplicação com aspeto assustador — trata-se apenas de uma ferramenta fiável que está a ser utilizada para executar o código de outra pessoa.

Observámos o que aconteceu quando o script foi executado. Primeiro, o script verificou a localização do computador. Depois, contactou discretamente um servidor na Internet e enviou-lhe dados, utilizando um endereço web codificado numa sequência de caracteres aparentemente sem sentido. O servidor respondeu.

Um plugin de áudio não tem qualquer motivo para fazer nada disso. É assim que um «carregador» de malware se comporta: estabelece contacto com o servidor do atacante para receber instruções e descarregar o seu próximo componente de malware. Nesta campanha, esse próximo componente é normalmente um «stealer» — um malware que procura carteiras de criptomoedas, palavras-passe guardadas no navegador e códigos de acesso.

Malwarebytes esta ameaça, pelo que os utilizadores protegidos são impedidos de executar o ficheiro antes que este possa ser executado.

Como identificar a falsificação

A maioria dos plugins do Vita é instalada no Vita, utilizando ferramentas como o VitaShell ou o Autoplugin, e são fornecidos como ficheiros Vita (daqueles que terminam em .skprx ou .vpk).

Algumas ferramentas legítimas neste meio — instaladores, utilitários de transferência de ficheiros, ferramentas de compilação — funcionam mesmo num PC, pelo que um Windows não é automaticamente mau. O importante é verificar antes de o executar.

É bem conhecido? É amplamente utilizado? É recomendado por fontes de confiança da comunidade, ou simplesmente deparaste-te com ele num repositório que não conhecias? Um «plugin» que, discretamente, se baseia num .bat Um ficheiro destinado a executar um programa oculto é exatamente o que essa verificação se destina a detetar.

Existem alguns hábitos que ajudam:

  • Associe o ficheiro ao dispositivo e verifique as ferramentas do PC. A maioria dos plug-ins da Vita são ficheiros da Vita, e não Windows . Algumas ferramentas legítimas funcionam mesmo no teu PC, por isso não entres em pânico se um .exe ou .bat, mas certifique-se de que se trata de uma ferramenta conhecida e fiável antes de a executar.
  • Tenha cuidado com o texto «Descarregar agora». Os verdadeiros ficheiros README de projetos homebrew são escritos para utilizadores como outros programadores. Nesta campanha, os repositórios falsos recorrem a texto gerado por IA, que tende a parecer texto de marketing: repleto de emojis, com uma formulação amigável e um grande botão de descarregar. Um projeto que o pressiona a clicar rapidamente merece uma segunda análise.
  • Recorra apenas a fontes fiáveis. Os centros comunitários consolidados e as listas de fontes fiáveis existem por uma razão. Verifique antes de fazer o download.
  • Adicione mais uma camada de proteção. Malwarebytes Browser Guard ajudar a bloquear páginas e downloads maliciosos conhecidos antes que cheguem até si.

O que fazer se já o tiver executado

Se já descarregou e executou EQ_Vita_v1.3.zip, deve considerar que o computador está comprometido. Eis o que deve fazer:

  • Execute uma verificação completa de malware com software de segurança atualizado.
  • Uma vez que esta campanha distribui malware destinado a roubar informações, altere as suas palavras-passe importantes a partir de um dispositivo diferente e seguro e verifique se houve acessos não autorizados às suas contas.
  • Se tiver alguma criptomoeda nesse computador, transfira os seus fundos utilizando um dispositivo diferente e seguro e alterne as suas chaves e frases-semente.
  • Verifique as suas definições de autenticação de dois fatores (2FA), uma vez que os ladrões também podem ter como alvo os dados da 2FA.
  • Por fim, apague os três ficheiros e denuncie o repositório do GitHub para que este possa ser removido.

Por que é que este esquema funciona

Funciona porque não parece ser uma fraude. Está alojado no GitHub, onde os utilizadores do Homebrew já depositam a sua confiança. Utiliza uma ferramenta real e inofensiva para fazer o seu trabalho sujo. E esconde a parte perigosa dentro de um ficheiro que parece texto simples. Nenhum desses truques é engenhoso por si só, mas, em conjunto, conseguem passar despercebidos pelas verificações rápidas que a maioria das pessoas efetivamente faz.

O que torna este caso digno de nota é o seu alvo. As comunidades retro funcionam à base de boa vontade — voluntários que mantêm o hardware antigo em funcionamento, partilham o seu trabalho gratuitamente e garantem a qualidade das ferramentas uns dos outros. É precisamente essa confiança que esta campanha explora, e cada repositório falso que passa despercebido torna o próximo projeto genuíno um pouco mais difícil de confiar.

A melhor defesa é aquela de que estas comunidades já dispõem: listas de fontes fiáveis, wikis consolidadas e pessoas que testam as coisas e comunicam os resultados. Verifique a origem de um ficheiro antes de o executar e, quando algo não bater certo, diga-o. É esse hábito que mantém o ambiente seguro para todos os que dele fazem parte.

Indicadores de compromisso (IOCs)

Domínios

https://github.com/Voistace/EQVita
https://voistace.github.io

IP

85.137.52.21 C2

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

Violações de dados
Logótipo da Kodak

A Kodak confirma a violação de segurança, à medida que o prazo da ameaça de divulgação dos ShinyHunters chega ao fim

junho 18, 2026

A gigante da fotografia confirmou uma violação de dados depois de o grupo ShinyHunters ter afirmado ter roubado 2,2 milhões de registos e ameaçado divulgá-los.

Telemóvel
Android

Android «Rokarolla» pode assumir o controlo do seu telemóvel e roubar os seus dados de acesso a serviços bancários

junho 17, 2026

Os investigadores descobriram um trojan Android que tem como alvo mais de 200 aplicações bancárias e de criptomoedas e que consegue assumir o controlo dos dispositivos infetados.

Violações de dados
violação de dados

24 mil milhões de registos roubados foram divulgados na Internet. Eis o que deve fazer

junho 17, 2026

Os investigadores descobriram um conjunto de 24 mil milhões de registos roubados que se encontrava exposto, incluindo nomes de utilizador, palavras-passe e outros dados confidenciais das contas.

Adicionar como fonte preferencial no Google

Artigos relacionados

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes