#安全资讯 热门开源 Wii U 模拟器 CEMU 遭到黑客劫持，黑客针对非俄罗斯 Linux 用户投毒，如果检测到是以色列用户则会执行 rm -rf / 命令破坏系统。根据 CEMU 团队的调查，其成员运行被篡改的 Python 安装包是攻击源头，这个包窃取开发者的 GitHub API 凭证，随后修改项目发布页的 CEMU for Linux 版安装包，Windows 和 macOS 版并未被篡改。查看详情：https://ourl.co/112917

非常受欢迎的 Wii U 开源模拟器 CEMU 日前发布安全公告披露该模拟器遭到的黑客攻击事件，事件起源是团队开发者运行被黑客篡改的 Python 安装包，这个安装包里存在恶意代码并用来窃取开发者的 GitHub API 令牌，随后黑客通过令牌登录账户并发布带有后门程序的 CEMU 模拟器。

主要向非俄罗斯 Linux 用户投毒：

模拟器开发团队经过检查后发现黑客仅篡改 GitHub 发布页面的 CEMU for Linux 安装包，受影响的文件包括 Cemu-2.6-x86_64.AppImage 和 cemu-2.6-ubuntu-22.04-x64.zip，Windows 版和 macOS 版都没有被篡改，通过 Flatpak 安装的版本也不受影响。

此次攻击发生时间为 2026 年 5 月 6 日～5 月 12 日期间，在此期间如果用户通过 CEMU 官方 GitHub 发布页下载过以上两个文件并执行的话，系统就有可能遭到感染，建议这些用户立即进行排查。

黑客投放的后门程序也会在首次运行时检查系统环境并且不会直接激活恶意行为，这可能是黑客希望后门程序先潜伏起来等待后续机会，而如果后门程序检测到系统设置的是俄语则压根不会被激活，说明这有可能是亲俄罗斯的黑客投放的病毒。

值得注意的是，如果后门程序检测到用户位于以色列，那不仅会激活后门程序，还会播放警报声并尝试使用 rm -rf / 命令直接擦除整个文件系统，这会导致受感染的系统被破坏。

投毒目的仍然还是窃取各类机密：

目前对后门程序的研究表明，黑客主要还是通过后门程序监控用户并从环境中窃取各类密码和机密信息，除了针对以色列用户会执行高危擦除命令外，目前也没发现后门程序还会执行其他破坏性操作。

CEMU 团队建议受影响的用户最好彻底重装系统确保安全，用户可以检查自己的下载记录，看看是否在投毒期间下载过以上安装包，如果下载过那重装系统可能确实是最好的选择。

via CEMU