Malware in progetti open source: retrogaming pericoloso

I repository open source sono spesso considerati luoghi di condivisione, trasparenza e collaborazione. Tuttavia, non sono immuni da abusi di ogni tipo, soprattutto quando si parla di malware. Una recente scoperta da parte degli esperti di Malwarebytes ha evidenziato il caso di un plugin per PlayStation Vita, pubblicato su GitHub, che celava all’interno un software malvolo in grado di rubare informazioni sensibili dai computer degli utenti.

Il falso plugin per PlayStation Vita

Il malware in questione è stato scoperto all’interno di un progetto open source chiamato EQVita, un plugin che migliorava l’esperienza audio durante il gioco su PlayStation Vita.

Un utente ha pubblicato un repo con lo stesso nome ma destinato a contenere un malware nascosto. Questo clone malevolo includeva file eseguibili potenzialmente pericolosi. Molti si sarebbero infatti fidati del nome identico e scaricato il falso plugin, pensandolo legittimo, non sapendo che potesse rubare dati sensibili del sistema.

Come funziona il malware nascosto

Il malware era nascosto all’interno di un file ZIP fornito come parte del repository. Il pacchetto includeva:

• luajit.exe: un file legittimo, parte del compilatore Lua;
• Launch.bat: un file batch che istruisce luajit.exe ad avviare x64.txt;
• x64.txt: in realtà era uno script malevolo che:

Questo script ha due funzioni principali:

• invia informazioni sull’utente e sul sistema al server remoto;
• scarica infine un tool malevolo chiamato SmartLoader, che include malware come Lumma (un celebre infostealer).

Queste informazioni rubate possono includere account di accesso, password e addirittura portafogli di criptovalute.

Incoerenze tecniche

I plugin di PlayStation Vita non sono mai file .exe o .bat: si tratta sempre di file con estensione .skprx o .vpk, installati specificamente tramite strumenti del sistema come VitaShell o Autoplugin.

La presenza di file eseguibili in questa directory non era solo fuorviante, ma anche pericolosa. Gli utenti che hanno scaricato e installato questa versione modificata hanno esposto dati sensibili e hanno rischiato di compromettere la sicurezza del loro sistema.

Come proteggersi e cosa fare in caso di infezione

Per evitare incidenti simili:

• verificare sempre l’attendibilità della fonte (come lo sviluppatore o il repository su GitHub);
• non scaricare file eseguibili, soprattutto su temi di retrogaming;
• se i file sono dannosi, eliminarli immediatamente dal sistema;
• cambiare le password e spostare criptovalute su dispositivi più sicuri.

Rimozione e prevenzione

Fortunatamente, il repository GitHub è stato rimosso dopo la segnalazione di Malwarebytes. Tuttavia, gli esperti avvertono che possono comparire progetti simili nel futuro.

Per proteggersi, la comunità di gioco e di retrogaming deve sostenere progetti open source attendibili e segnalare qualsiasi sospetto comportamento scomodo o non conforme.