Pengguna Linux yang sempat mengunduh build Cemu dari GitHub kini diminta waspada. Versi yang tampak resmi itu ternyata sempat disusupi malware yang tidak hanya mengganggu sistem, tetapi juga dibekali kemampuan mencuri kata sandi dan kredensial penting.
Kasus ini menyentuh hampir 20.000 unduhan sebelum file bermasalah itu ditarik. Dampaknya jadi lebih serius karena target malware bukan sekadar perangkat lokal, melainkan data autentikasi yang dipakai untuk layanan cloud dan coding.
Pengembang Cemu menyebut dua file Linux di halaman GitHub mereka terdampak dalam periode 6 hingga 12 Mei 2026. Keduanya adalah “Cemu-2.6-x86_64.AppImage” dan “cemu-2.6-ubuntu-22.04-x64.zip”, dan siapa pun yang mengunduhnya dalam rentang itu berisiko mendapat build yang sudah terinfeksi.
Secara gabungan, kedua file itu tercatat meraih lebih dari 20.000 unduhan sebelum dihapus. Karena Cemu adalah emulator yang cukup dikenal, angka unduhan yang besar ikut memperluas paparan insiden ini di kalangan pengguna Linux.
Yang membuat masalah ini lebih berbahaya adalah jenis data yang diburu malware. Pengembang menyebut malware tersebut memiliki pencuri kata sandi yang cukup canggih untuk banyak layanan, dengan fokus pada aktivitas pemrograman dan penyedia cloud.
Pola serangan seperti ini menunjukkan bahwa pelaku tidak hanya mengejar kerusakan di mesin korban. Akses yang berhasil dicuri berpotensi dipakai untuk membuka jalan ke repositori, server, atau infrastruktur cloud lain yang terhubung dengan akun pengguna.
Bagi pengguna yang memakai satu perangkat untuk bekerja dan mengelola layanan penting, risikonya jelas lebih besar. Jika kredensial GitHub, token autentikasi, atau kunci SSH ikut bocor, dampaknya bisa merambat ke banyak sistem sekaligus.
Tidak semua pengguna Cemu terkena dampak yang sama. Pengguna yang memasang Cemu melalui Flatpak disebut tidak terdampak oleh serangan ini.
Untuk pengguna yang sempat mengunduh dua build bermasalah tadi, pengembang merekomendasikan instal ulang sistem operasi secara bersih sebagai langkah paling aman. Mereka menilai tindakan itu diperlukan karena infeksinya cukup serius dan penghapusan file biasa belum tentu cukup.
Jika instal ulang penuh tidak memungkinkan, langkah cepat tetap harus dilakukan. Binary yang terdampak perlu dihapus, lalu seluruh kata sandi, token GitHub, kunci SSH, dan kredensial lain yang dipakai untuk autentikasi layanan harus segera diganti.
Pengembang juga menyarankan pemblokiran alamat IP 83.142.209.194. Alamat itu disebut sebagai IP yang ditanam langsung dalam serangan tersebut.
Insiden ini menjadi pengingat bahwa jalur unduh yang terlihat sah pun tetap bisa berubah menjadi pintu masuk serangan. Format seperti AppImage atau arsip zip memang praktis dipakai di Linux, tetapi pengguna tetap perlu memperhatikan pengumuman keamanan dari pengembang saat ada peringatan seperti ini.
Source: www.xda-developers.com
