Пользователи, загрузившие эмулятор консоли Wii U под названием Cemu для операционной системы Linux с официальной страницы проекта на GitHub за последние 3 недели, могли подвергнуть свои системы опасности. Команда разработчиков этого приложения с открытым исходным кодом сообщила, что файлы AppImage и ZIP версии Cemu 2.6 для Linux содержали вредоносный код в период с 6 по 12 мая 2026 года.
Важно отметить, что версия Cemu Flatpak, а также установщики для других операционных систем не пострадали. Пользователям Linux, которые скачали указанные файлы напрямую или через сторонние лаунчеры, а затем запустили их, следует исходить из того, что их система заражена. Если архивы не распаковывались, а файлу AppImage не давали разрешение на выполнение, система может быть в безопасности, но разработчики все равно настоятельно рекомендуют немедленно удалить эти пакеты.
Инцидент произошел из-за того, что 1 из участников проекта запустил скомпрометированный пакет Python, который украл его токен доступа к GitHub. Злоумышленники использовали этот токен для повторной загрузки зараженных версий 2 бинарных файлов для Linux в релиз версии 2.6. По данным International Cyber Digest, этот случай является частью скоординированной серии атак на цепочки поставок, нацеленных на широко используемые инструменты с открытым исходным кодом. Разработчики уже приняли меры, чтобы предотвратить автоматическую публикацию зараженных сборок в будущем.
На данный момент точные возможности вредоносного программного обеспечения до конца не изучены. Предполагается, что оно предназначено для кражи учетных данных, облачных паролей, ключей и сервисных токенов. Кроме того, программа имеет специфическую функцию для пользователей из Израиля: при обнаружении соответствующего местоположения она удаляет всю файловую систему и воспроизводит звук сирены. Команда проекта опубликовала хэши безопасных сборок версии 2.6 для проверки загруженных файлов. В случае подозрения на заражение эксперты рекомендуют переустановить операционную систему и сменить все важные пароли.