Zum Inhalt springen

WiiDatabase

Nintendo-Homebrew seit 2011
Menü
Theme ändern
Unterstütze uns
PayPal-Logo Patreon-Logo
Abonniere uns per RSS Lies WiiDatabase Radar Folge uns auf X (ehem. Twitter) Like uns auf Facebook Trete dem WiiDatabase-Kanal auf Telegram bei und erhalte alle News sofort!

Wir hosten zurzeit 649 Homebrews mit über 4.469.837 Downloads!

Nützliche Links
Kategorien
Archiv

„Keep hacking. It’s what bushing would have wanted.“

Über uns

© WiiDatabase.de 2011-2026

Cemu v2.6 Linux-Builds kompromittiert

Wii U , ,

Wer das AppImage oder das Ubuntu-Release des Wii-U-Emulators Cemu v2.6 zwischen dem 08. und dem 12. Mai 2026 von GitHub heruntergeladen und ausgeführt hat, hat sich mit hoher Wahrscheinlichkeit Malware eingefangen.

Konkret enthalten die folgenden Release-Assets Malware:

  • cemu-2.6-ubuntu-22.04-x64.zip mit dem SHA256-Hash f140e76236b96adf7cdc796227af9808665143bc674debb77729fa3e4b8327cc, hochgeladen am 08. Mai 2026 um 00:55 Uhr CEST
  • Cemu-2.6-x86_64.AppImage mit dem SHA-256 Hash d07a29c4458d00e42d5d9e6345932592e91644d6b821bacdb7a543c628e0b41a, hochgeladen am 08. Mai 2026 um 03:41 Uhr CEST

Beide Dateien wurden erst wieder am 12. Mai 2026 um ca. 17:12 Uhr CEST korrigiert. Die korrekten sauberen Hashes sind:

  • Für die Ubuntu-ZIP: 0c20c4aeb800bb13d9bab9474ef45a6f8fcde6402cad9b32ac2a1bbd03186313
  • Für das AppImage: 5e4592d0dae394fa0614cb8c875eff3f81b23170b349511de318d9caf7215e1b

Da unsere Download-Seite nur auf GitHub verlinkt, wart ihr hier leider nicht sicher – ich habe die sauberen Releases nun wieder selbst in die Datenbank geladen. Das gleiche gilt auch für Nutzer von bspw. EmuDeck, da hier lediglich die Release von GitHub geladen werden.

Was macht die Malware?

Es handelt sich hierbei um einen Credential-Stealer, der SSH-Schlüssel, GitHub-Tokens und andere Passwörter und Schlüssel für verschiedene Cloud-Dienste stiehlt und sich somit weiterverbreitet. Auf israelischen Systemen besteht zudem eine 1:6-Chance, dass bei jedem Start von Cemu versucht wird, das gesamte System zu löschen – hier hat der Malware-Autor aber offensichtlich vergessen einen Parameter mitzugeben, weswegen das Ganze ins Leere läuft.

Wie konnte das passieren?

Dies ist Teil einer größeren Supply-Chain-Attacke von "TeamPCP", die bekannte Python- und NodeJS-Bibliotheken wie TanStack und Mistral-AI betrifft. Der Uploader der kompromittierten Releases ist ein langjähriger Cemu-Entwickler, der sehr wahrscheinlich selbst unwissentlich betroffene Software ausgeführt hat.

Wie weiß ich, ob ich betroffen bin? Was sollte ich jetzt tun?

Zuerst einmal: Windows- und macOS-Builds sind nicht betroffen.

Wer das betroffene Cemu-Release unter Linux ausgeführt hat, sollte das System neu aufsetzen und eventuell vorhandene SSH-Keys, Passwörter und Cloud-Credentials rotieren. Entwickler sind besonders betroffen, da sich der Stealer selbst repliziert, indem er automatisch in GitHub-Repositorys committet. Leider gibt es keine genaue Liste an betroffenen Passwörtern und Tokens. Zudem empfiehlt sich, die IP "83.142.209.194" zu blockieren (bspw. per ufw).

Auf kompromittierten Systemen finden sich eventuell die folgenden Dateien wieder:

  • transformers.pyz (insbesondere in /tmp)
  • pgmonitor.py
  • pgsql-monitor.service

Danke an NintendoX für den Hinweis!

Abonnieren
Benachrichtige mich bei
guest
5 Kommentare
Neueste
Älteste Am besten bewertet
Inline Feedbacks
Alle Kommentare