Любителям ретро-игр следует с осторожностью относиться к проектам на GitHub, которые позиционируются как инструменты или плагины для их консолей. Злоумышленники могут маскировать обычное компьютерное вредоносное ПО под самодельное программное обеспечение, и этот прием работает против любой ретро-платформы с активным сообществом моддеров, а не только против одной конкретной консоли.
Недавно мы рассмотрели один пример, ориентированный на владельцев PlayStation Vita: поддельный проект, который выдаёт себя за бесплатный аудиоинструмент, но на самом деле запускает на вашем компьютере Windows .
Проект под названием EQVita выглядит как обычный самодельный плагин. У него есть хорошо проработанный файл README, кнопка загрузки, скриншоты и аккуратный макет. Однако загруженный файл вообще не содержит ничего для Vita. В нём находятся три Windows , и один из них — текстовый файл, выглядящий безобидно, — на самом деле является скрытым скриптом, который незаметно подключается к серверу злоумышленника после запуска.
Это не единичный случай. Другие исследователи замечали, что злоумышленники используют поддельные репозитории GitHub — с описаниями, сгенерированными искусственным интеллектом, — для распространения вредоносного ПО под названием SmartLoader, которое затем загружает программы, крадущие пароли и средства из кошельков, такие как Lumma Stealer. Загрузка EQVita использует тот же метод, переработанный таким образом, чтобы привлечь внимание поклонников ретро-игр.
Взгляните на приведенное ниже сравнение. Слева — поддельный репозиторий GitHub, справа — настоящий.
В номере версии даже скрыта небольшая уловка. Настоящая версия EQVita — 1.10, а у подделки указан номер 1.3. На первый взгляд 1.3 может показаться более новой версией, но это не так. В программном обеспечении версия 1.10 следует за версией 1.9, поэтому настоящий проект является более актуальным. Подделка просто заимствует номер, который выглядит более современным.
Почему это направлено на сообщество пользователей Vita
Если вы не увлекаетесь ретро-консолями, PS Vita, возможно, не представляет для вас особого интереса. Но для многочисленного и активного сообщества это очень важно, и именно поэтому она становится мишенью.
Признаюсь, у меня к ней слабость: я купил свою Vita 1000 подержанную около десяти лет назад, и она до сих пор работает просто великолепно. Время от времени я достаю её с полки — в основном потому, что в библиотеке игр такой огромный выбор, что всегда найдётся что-то, к чему стоит вернуться. И, судя по всему, я не единственный.
Несмотря на то что компания Sony прекратила выпуск Vita несколько лет назад, фанаты поддерживают эту платформу, разрабатывая для неё собственное программное обеспечение: эмуляторы, файловые менеджеры и плагины. На модифицированной Vita можно запускать игры для PSP на полной скорости, а также эмулировать такие старые системы, как SNES, Game Boy Advance и Sega Genesis, что превращает этот карманный консоль в универсальную ретро-машину. В 2026 году эта сцена процветает: в ней активно работают разработчики, а также проводятся конкурсы самодельных программ с денежными призами.
Этот спрос находит отражение и в цене. Поскольку с 2019 года новые консоли не выпускаются, исправные Vita стали востребованным ретро-товаром, и за последний год цены на вторичном рынке на всех крупных торговых площадках выросли — больше всего подорожала старая модель с OLED-экраном, которую моддеры ценят за её прошивку. Другими словами, сейчас больше людей, чем когда-либо, покупают Vita специально для модификации, а это значит, что всё больше людей ищут плагины и инструменты для установки.
Именно этим энтузиазмом и пользуются злоумышленники. Пользователи самодельных программ привыкли скачивать файлы с GitHub, копировать их в папки и запускать. Все это хобби основано на доверии к коду отдельных разработчиков. Мошенники знают об этом, поэтому поддельный «плагин для Vita» — это простой способ заставить людей запустить то, что они обычно не стали бы запускать.
Как работает мошенничество
Загрузка, EQ_Vita_v1.3.zip, содержит три файла:
Launch.batluajit.exex64.txt
А вот в чём весь фокус. luajit.exe — это настоящая, безобидная программа, которая запускает скрипты. Пакетный файл просто дает ей команду открыть x64.txt. Несмотря на то, что .txt name, этот файл вовсе не текстовый — это скрытый скрипт, который запускается LuaJIT. Вызов этого скрипта .txt Именно это создает впечатление, что файл безобиден и его легко пропустить при прокрутке. Исследователи обнаружили такую же схему в кампании SmartLoader: единственный опасный файл в загрузке — это замаскированный скрипт, а все остальное — легитимные файлы.
Таким образом, ни один из файлов, загруженных пользователем, сам по себе не выглядит опасным. Здесь нет ни очевидного установщика, ни приложения, вызывающего опасения — просто надежный инструмент, используемый для запуска чужого кода.
Мы наблюдали за тем, что происходило во время его запуска. Сначала скрипт проверял, в какой точке мира находился компьютер. Затем он незаметно установил связь с сервером в Интернете и отправил ему данные, используя веб-адрес, зашифрованный в бессмысленную на вид строку. Сервер ответил.
У аудиоплагина нет никаких причин для подобных действий. Именно так ведет себя «загрузчик» вредоносного ПО: он связывается с сервером злоумышленника, чтобы получить инструкции и загрузить следующий компонент вредоносного ПО. В рамках этой кампании следующим компонентом обычно является «стилер» — вредоносное ПО, которое ищет криптовалютные кошельки, сохраненные пароли браузера и коды доступа.
Malwarebytes эту угрозу, поэтому у защищенных пользователей запуск файла предотвращается до того, как он успеет запуститься.
Как распознать подделку
Большинство плагинов для Vita устанавливаются на Vita с помощью таких инструментов, как VitaShell или Autoplugin, и поставляются в виде файлов Vita (тех, чьё расширение заканчивается на .skprx или .vpk).
Некоторые легальные инструменты в этой среде — установщики, программы для передачи файлов, инструменты для сборки — действительно работают на ПК, поэтому Windows не обязательно является вредоносной. Главное — проверить её перед запуском.
Он широко известен? Широко ли он используется? Рекомендуют ли его авторитетные источники в сообществе, или вы просто наткнулись на него в незнакомом репозитории? «Плагин», который незаметно опирается на .bat Файл, предназначенный для запуска скрытой программы, — именно это и призвана выявить данная проверка.
Помогут следующие привычки:
- Подберите файл, соответствующий устройству, и проверьте работоспособность программного обеспечения на ПК. Большинство плагинов для Vita представляют собой файлы Vita, а не Windows . Некоторые легальные утилиты действительно запускаются на вашем ПК, поэтому не паникуйте, если
.exeили.bat, но перед запуском убедитесь, что это известная и надежная программа. - Будьте осторожны с надписью «Скачать сейчас». Настоящие README-файлы для самодельных проектов пишутся для пользователей так же, как и для других разработчиков. В этой кампании поддельные репозитории опираются на текст, сгенерированный ИИ, который, как правило, читается как маркетинговый текст: с обилием смайликов, дружелюбным стилем изложения и большой кнопкой «Скачать». Проект, который подталкивает вас к поспешному нажатию кнопки, заслуживает более пристального внимания.
- Пользуйтесь только проверенными источниками. Авторитетные сообщества и списки надежных источников существуют не просто так. Перед скачиванием обязательно проверьте информацию.
- Добавьте ещё один уровень защиты. Malwarebytes Browser Guard заблокировать известные вредоносные страницы и загрузки, прежде чем они дойдут до вас.
Что делать, если вы уже запустили программу
Если вы скачали и запустили EQ_Vita_v1.3.zip, следует считать, что компьютер скомпрометирован. Вот что нужно сделать:
- Запустите полное сканирование на наличие вредоносных программ с помощью обновленного антивирусного ПО.
- Поскольку в рамках этой кампании распространяется вредоносное ПО, предназначенное для кражи данных, смените свои важные пароли с другого, «чистого» устройства и проверьте свои учетные записи на наличие несанкционированных входов.
- Если на этом компьютере хранятся какие-либо криптовалюты, переведите средства с помощью другого, «чистого» устройства и регулярно меняйте ключи и сед-фразы.
- Проверьте настройки двухфакторной аутентификации (2FA), так как злоумышленники могут также пытаться похитить данные 2FA.
- В заключение удалите эти три файла и сообщите об этом в репозитории GitHub, чтобы его можно было удалить.
Почему эта афера срабатывает
Это работает, потому что не выглядит как мошенничество. Проект размещен на GitHub, которому пользователи Homebrew уже доверяют. Для выполнения своих грязных дел он использует настоящий, безобидный инструмент. А опасную часть он скрывает внутри файла, который выглядит как обычный текст. Ни один из этих приёмов сам по себе не является особенно изобретательным, но в совокупности они легко проскальзывают мимо тех поверхностных проверок, которые на самом деле проводят большинство людей.
Что делает эту ситуацию достойной внимания, так это то, на кого она направлена. Ретро-сообщества существуют за счет доброй воли — волонтеров, которые поддерживают старое оборудование в рабочем состоянии, бесплатно делятся результатами своей работы и ручаются за инструменты друг друга. Именно этим доверием и пользуется данная кампания, и каждый поддельный репозиторий, который проскальзывает, делает следующий подлинный проект чуть менее заслуживающим доверия.
Лучшая защита — это то, чем уже располагают эти сообщества: списки надежных источников, авторитетные вики-сайты и люди, которые тестируют программы и делятся своими наблюдениями. Перед запуском файла проверьте его происхождение, а если что-то вызывает подозрения, сообщите об этом. Именно эта привычка позволяет сохранять безопасность сообщества для всех его участников.
Индикаторы компромисса (ИКС)
Домены
https://github.com/Voistace/EQVita
https://voistace.github.io
IP
85.137.52.21 C2
Мы не просто сообщаем об угрозах - мы их устраняем
Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.
