El equipo de Cemu confirmó que los archivos de la versión 2.6 del emulador para Linux publicados en el repositorio oficial de GitHub fueron comprometidos. Si descargaste el AppImage o el paquete ZIP para Ubuntu de esa versión específica, hay malware en tu sistema.
Qué versiones están afectadas
El problema se limita a dos formatos de distribución concretos: el AppImage de Linux y el archivo ZIP para Ubuntu, ambos correspondientes exclusivamente a la release 2.6. El resto de builds quedaron al margen: la versión Flatpak no fue tocada, y los instaladores para Windows y macOS tampoco presentan ningún problema.
Esto es relevante porque Flatpak es precisamente el canal que muchas distribuciones Linux recomiendan para instalar software de terceros, en parte por la capa adicional de sandboxing que ofrece. Quien siguió esa vía esta vez tuvo suerte sin saberlo.
Cómo saber si descargaste la versión comprometida
La pregunta que se hace cualquier usuario afectado es obvia: ¿cómo lo sé? El criterio es directo:
– ¿Descargaste Cemu 2.6 desde GitHub en formato AppImage? Afectado.
– ¿Descargaste el ZIP para Ubuntu de esa misma versión desde el repositorio oficial? Afectado.
– ¿Usaste Flatpak, o tienes una versión anterior o posterior a la 2.6? No afectado.
Si encajas en los dos primeros supuestos, eliminar el archivo descargado no es suficiente. El malware ya pudo ejecutarse en el momento en que lanzaste el emulador. Lo recomendable es auditar el sistema con herramientas como `rkhunter`, `chkrootkit` o `ClamAV`, revisar procesos activos sospechosos y, dependiendo de la sensibilidad de los datos en esa máquina, considerar una reinstalación limpia.
El problema de fondo: GitHub como vector de ataque
Este incidente debería incomodar a más gente de lo que lo hará. GitHub es el repositorio de referencia para prácticamente todo el software open source, y los usuarios confían en él de forma casi incondicional. Cuando los propios archivos oficiales de un proyecto están envenenados, el modelo de confianza se rompe desde la base.
No es la primera vez que ocurre algo así. El ecosistema open source ha visto casos de dependencias comprometidas, mantenedores con acceso malicioso y paquetes troyanizados que llegaron a repositorios oficiales. Lo que hace especialmente incómodo este caso es que el vector fue el repositorio principal del proyecto, no una dependencia oscura ni un mirror no oficial.
La seguridad en Linux no es automática por el hecho de usar Linux. Un sistema bien configurado, con verificación de firmas y preferencia por canales con sandboxing como Flatpak o Snap, reduce la superficie de ataque. Pero cuando el origen mismo está comprometido, ninguna práctica de higiene digital salva a quien descarga sin verificar hashes.
El equipo de Cemu no ha detallado públicamente qué tipo de malware se introdujo ni cómo se produjo el acceso al repositorio.
