Nombre de lectrices et de lecteurs : 1
Alerte Cemu : malwares distribués via l'émulateur Wii U !

Alerte Cemu : malwares distribués via l’émulateur Wii U

Alors que de nombreux utilisateurs s’apprêtaient à profiter du long week-end de l’Ascension pour jouer, une alerte a frappé la communauté Linux. Cemu, l’émulateur Wii U très prisé, a été le vecteur d’une attaque significative. Entre le 6 et le 12 mai 2026, des fichiers officiels hébergés sur GitHub ont été infectés par un malware sophistiqué.

Si vous avez récemment mis à jour ou installé Cemu sur Linux, il est possible que votre système soit déjà compromis.

Un token volé, un « carnage » à la clé

Un contributeur du projet, identifié sous le nom de MangleSpec, a accidentellement exécuté un package Python malveillant dans son environnement Windows Subsystem for Linux (WSL). Cette action a conduit au vol de son token d’accès GitHub. L’attaquant a rapidement utilisé cet accès pour remplacer les binaires légitimes de la version 2.6 par des versions infectées. Notablement, le code source n’a pas été altéré, permettant à l’attaque de passer inaperçue pendant six jours.

Un malware aux intentions politiques et destructrices

Le malware contenu dans les versions infectées de Cemu agit comme un « stealer » classique, cherchant à collecter des identifiants, des tokens cloud, des clés SSH et des fichiers de configuration. De plus, il présente un comportement alarmant lié à la géopolitique : s’il détecte un utilisateur en Russie, il reste inactif, tandis qu’il tente d’effacer l’intégralité du système de fichiers pour les utilisateurs situés en Israël.

Le point de contrôle (C2) de ce malware est codé en dur à l’adresse IP 83.142.209.194. Une détection de trafic vers cette adresse est un signe de compromission.

La solution nucléaire : « Nuke and Pave »

L’équipe de développement de Cemu, ayant repris le contrôle du dépôt, a déclaré que si vous avez exécuté les versions Linux affectées, votre système doit être considéré comme totalement compromis. Les mesures d’urgence recommandées incluent :

  1. Réinstallation complète : formater le disque et réinstaller la distribution Linux.
  2. Renouvellement des secrets : changer tous les mots de passe, révoquer les tokens GitHub et générer de nouvelles clés SSH.
  3. Blocage IP : interdire tout trafic vers l’IP 83.142.209.194 au niveau du pare-feu.

Les utilisateurs sous Windows, macOS et ceux utilisant Flatpak ne sont pas touchés par cette attaque spécifique.

Source : Alerte Cemu.

Source
Partager ici :
Leave a Comment

Comments

No comments yet. Why don’t you start the discussion?

Laisser un commentaire