{"id":324953,"date":"2026-05-15T00:04:33","date_gmt":"2026-05-14T22:04:33","guid":{"rendered":"https:\/\/borncity.com\/blog\/?p=324953"},"modified":"2026-05-13T15:22:30","modified_gmt":"2026-05-13T13:22:30","slug":"wii-u-emulator-cemu-images-fuer-ubuntu-und-apps-waren-kompromittiert","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2026\/05\/15\/wii-u-emulator-cemu-images-fuer-ubuntu-und-apps-waren-kompromittiert\/","title":{"rendered":"Wii U Emulator CEMU: Images f\u00fcr Ubuntu und Apps waren kompromittiert"},"content":{"rendered":"

\"SicherheitCEMU<\/a> ist eine Software zur Emulation von Wii U Games\u00a0 und Anwendungen auf einem PC, die f\u00fcr verschiedene Betriebssysteme angeboten wird. Das Entwicklerteam des CEMU-Emulators hat bekannt gegeben, dass auf der GitHub-Seite des Projekte fast eine Woche lang manipulierte Builds f\u00fcr Ubuntu und Apps angeboten wurden.<\/p>\n

<\/p>\n

\"\"Die Information ist mir die Woche bereits im Beitrag\u00a0Popular Wii U emulator CEMU has been offering compromised downloads for days<\/a> vom 12. Mai 2026 von Neowin.net untergekommen. Im Diskussionsbereich hat sich zudem ein Leser mit \"Keine Ahnung ob sowas \u00fcberhaupt noch als \"News\" gilt, aber im offiziellen Downloadbereich von Cemu gab es etwa eine Woche lang Malware bei den Downloads, f\u00fcr Linux interessanterweise diesmal, die Windows Versionen wurden verschont.\" gemeldet.<\/p>\n

Der Leser verwies auf den Cemu-GitHub-Eintrag\u00a0[COMPROMISED] v2.6 Linux Ubuntu and AppImage release assets have been replaced (SOLVED, now restored)<\/a>, wo folgende Information zu finden ist.<\/p>\n

 <\/p>\n

Hello, we noticed that two assets on the v2.6 release were deleted and re-uploaded on 2026-05-07 \/ 2026-05-08 by user MangelSpec, who has no prior contribution to this repo.<\/p>\n

The original assets, uploaded by github-actions[bot] on 2025-02-06, are gone.<\/p>\n

Affected assets:<\/p>\n

File: cemu-2.6-ubuntu-22.04-x64.zip
\nUploader: MangelSpec
\nUploaded (UTC): 2026-05-07 22:55
\nsha256: f140e76236b96adf7cdc796227af9808665143bc674debb77729fa3e4b8327cc
\nDownloads: ~1,957
\n\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500\u2500
\nFile: Cemu-2.6-x86_64.AppImage
\nUploader: MangelSpec
\nUploaded (UTC): 2026-05-08 01:41
\nsha256: d07a29c4458d00e42d5d9e6345932592e91644d6b821bacdb7a543c628e0b41a
\nDownloads: ~19,897<\/p>\n

Windows .zip, macOS .dmg, and the v2.6 git tag (a6fb0a4<\/tt><\/a>) are unchanged.<\/p>\n

Both bundle a file called\u00a0startup.py<\/a>\u00a0that that are also part of a\u00a0larger<\/a>\u00a0supply chain attack campaign<\/p>\n

Happy to share the queries I used if useful.<\/p>\n<\/blockquote>\n

Detaillierte Informationen zu dieser Ank\u00fcndigung, was betroffen ist und wie man eine Infektion feststellen kann, finden sich hier<\/a>. Die AppImage- und Ubuntu-ZIP-Dateien von Cemu 2.6:<\/p>\n

Cemu-2.6-x86_64.AppImage<\/code>
\ncemu-2.6-ubuntu-22.04-x64.zip<\/code><\/p>\n

auf dem GitHub-Repository waren im Zeitraum vom 6. Mai bis 12. Mai 2026 von einem pro-russischen Angreifer kompromittiert. Windows oder macOS waren davon nicht betroffen. Auch Flatpak-Nutzer sind nicht betroffen.<\/p>\n

Wer allerdings die obigen Dateien zwischen dem 6. und 12. Mai von der CEMU-GitHub-Seite heruntergeladen hat, ist betroffen. Davon betroffen sind auch Launcher von Drittanbietern, die ihre Dateien normalerweise direkt aus diesem Repository beziehen. Inzwischen wurden die kompromittierten Versionen durch die korrekten Versionen ersetzt. Die Malware erzeugte folgende Dateien und Verzeichnisse:<\/p>\n

\/tmp\/.transformers<\/code>
\n\/usr\/bin\/pgmonitor.py<\/code>
\n~\/.local\/bin\/pgmonitor.py<\/code>
\n\/etc\/systemd\/system\/pgsql-monitor.service<\/code>
\n~\/.config\/systemd\/user\/pgsql-monitor.service<\/code>
\n\/tmp\/kubectl<\/code><\/p>\n

Falls die Software zum oben genannten Zeitraum heruntergeladen wurde und die obigen Eintr\u00e4ge nicht vorhanden sind, sollte man aber nicht schlie\u00dfen, dass man sicher sei. Der volle Funktionsumfang der Malware ist bisher nicht. Am sichersten sei es, eine Neuinstallation des Betriebssystems durchzuf\u00fchren, raten die Entwickler.<\/p>\n

Weiterhin sollten Betroffene zumindest die betroffenen Bin\u00e4rdateien l\u00f6schen und alle ihre Passw\u00f6rter, GitHub-Token, SSH-Schl\u00fcssel sowie alles, was zur Authentifizierung bei Diensten verwendet wird, zur\u00fccksetzen. Die Malware enth\u00e4lt einen ziemlich ausgekl\u00fcgelten Passwort-Stealer f\u00fcr viele Dienste, das steht schon fest. Die meisten dieser Dienste davon stehen in irgendeiner Weise mit Programmierung oder Cloud-Anbietern in Verbindung. Die CEMU-Entwickler vermuten, dass dies den Malware-Autoren helfen soll, weitere Software zu infizieren.<\/p>\n

Es wird auch empfohlen, die IP-Adresse 83.142.209.194 blockieren (auch wenn man nicht betroffen ist), da diese als fest programmierter Remote-Endpunkt verwendet wird.<\/p>\n

Der Leser verwies auf eine entsprechende Diskussion SECURITY PSA – For Cemu emulator 2.6 (recent AppImage\/Ubuntu downloads compromised to include malware<\/a> auf reddit.com, die laut Leser \"zensiert\" wurde (zumindest war sie es zum Zeitpunkt, als der Leser den Kommentar im Diskussionsbereich des Blogs hier eingestellt hat).<\/p>\n

\"CEMU<\/a><\/p>\n

Erkennbar wird das durch den in obigem Screenshot sichtbaren Text, dass ein Beitrag durch den Reddit-Filter entfernt wurde. Der Leser meinte: \"Man kann sicherlich \u00fcber Emulatoren denken wie man will, und vermutlich war es hier ein automatisches Mod-System und keine manuelle Entscheidung, aber ich bin mal gespannt ob der Beitrag da wiederhergestellt wird.\"<\/p>\n","protected":false},"excerpt":{"rendered":"

CEMU ist eine Software zur Emulation von Wii U Games\u00a0 und Anwendungen auf einem PC, die f\u00fcr verschiedene Betriebssysteme angeboten wird. Das Entwicklerteam des CEMU-Emulators hat bekannt gegeben, dass auf der GitHub-Seite des Projekte fast eine Woche lang manipulierte Builds … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[95,1063,426,7459],"tags":[4305,6234,4328,3836],"class_list":["post-324953","post","type-post","status-publish","format-standard","hentry","category-linux","category-mac-os-x","category-sicherheit","category-software","tag-linux","tag-macos","tag-sicherheit","tag-software"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324953","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=324953"}],"version-history":[{"count":2,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324953\/revisions"}],"predecessor-version":[{"id":324956,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/324953\/revisions\/324956"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=324953"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=324953"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=324953"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}