GitHub viene spesso sfruttata per distribuire malware. Il codice sorgente pubblicato sulla piattaforma può essere modificato o “clonato” da tutti, come accaduto recentemente con un presunto tool audio per Playstation Vita, console portatile non più supportata da Sony da marzo 2019. Gli esperti di Malwarebytes hanno spiegato cosa succede dopo la sua installazione.
EQVita nasconde un malware per Windows
EQVita è un plugin per PlayStation Vita che migliora l’audio. Fino alla scorsa settimana fa era disponibile un altro progetto con lo stesso nome. La versione indicata era 1.3 che, apparentemente, sembrava più nuova della versione ufficiale 1.10 (al momento è 1.13). Scaricando la versione fasulla si riceveva una bella “sorpresa”.
Lo sviluppatore cybercriminale aveva pubblicato un archivio ZIP che conteneva tre file. L’eseguibile luajit.exe è legittimo (un compilatore e interprete del linguaggio Lua). C’era inoltre un file batch (Launch.bat) che, quando avviato, diceva a luajit.exe di eseguire il file x64.txt.
Nonostante l’estensione .txt era in realtà uno script che inviava informazioni sul computer al server remoto, dal quale scaricava SmartLoader. Quest’ultimo installava quindi un infostealer, tra cui il famigerato Lumma, che rubava password, wallet di criptovalute e altri dati.
Esistono diversi tool per Windows che consentono di eseguire varie operazioni correlate alla console portatile. Ma sicuramente non esistono plugin .bat o .exe, in quanto quelli per PlayStation Vita hanno estensioni .skprx o .vpk e vengono installati tramite VitaShell o Autoplugin.
Il consiglio è verificare prima l’attendibilità della fonte (il nome dello sviluppatore). Se il falso plugin è stato eseguito è necessario rimuovere subito i tre file, cambiare tutte le password e trasferire le criptovalute su un altro dispositivo. GitHub ha eliminato il repository, ma potrebbero comparirne di nuovi in futuro.
Ti potrebbe interessare
22 giu 2026