GitHub abusato per diffondere i furti di informazioni Amadey, Lumma e Redline in Ucraina

Una nuova operazione di Malware-as-a-Service (MaaS) sta utilizzando i repository GitHub per diffondere un mix di famiglie di infostealer. Questa campagna è stata individuata dai ricercatori di sicurezza informatica di Cisco Talos, che hanno pubblicato oggi i loro risultati, descrivendo in dettaglio come gli autori delle minacce dietro questa attività utilizzino il bot Amadey per estrarre malware direttamente dalle pagine pubbliche di GitHub e infettare i sistemi.

Questa operazione è emersa nell'aprile 2025, ma la sua attività risale almeno a febbraio, più o meno nello stesso periodo in cui le organizzazioni ucraine venivano colpite dalle email di phishing di SmokeLoader . Gli analisti di Talos hanno notato una notevole sovrapposizione di tattiche e infrastrutture tra quella campagna e la nuova guidata da Amadey, suggerendo che dietro entrambe potrebbero esserci le stesse mani.

Ciò che ha colpito in questo caso è stato l' abuso di GitHub . Gli aggressori hanno creato account falsi e li hanno utilizzati come directory aperte, payload di hosting, strumenti e plug-in Amadey. Sfruttando l'uso diffuso e la fiducia di GitHub negli ambienti aziendali, gli aggressori hanno probabilmente eluso molti filtri web standard che altrimenti avrebbero potuto bloccare domini dannosi.

Un account GitHub in particolare, come riportato nel post del blog tecnico di Cisco Talos, denominato " Legendary99999 ", è stato ampiamente utilizzato. Ospitava oltre 160 repository, ognuno contenente un solo file dannoso pronto per essere scaricato tramite un URL GitHub diretto.

Altri due account, " Milidmdds " e " DFfe9ewf ", hanno seguito un approccio simile, sebbene "DFfe9ewf" sembrasse più sperimentale. In totale, questi account ospitavano script, loader e binari di diverse famiglie di infostealer, tra cui Amadey, Lumma, Redline e AsyncRAT .

Amadey non è una novità. È apparso per la prima volta nel 2018 su forum di lingua russa, venduto a circa 500 dollari e da allora è stato utilizzato da vari gruppi per creare botnet e diffondere altro malware.

Il malware può raccogliere informazioni di sistema, scaricare altri strumenti ed espandere le sue funzionalità con plug-in. Nonostante sia comunemente utilizzato come downloader, il suo design flessibile può rappresentare una minaccia maggiore a seconda della configurazione.

Il collegamento tecnico tra questa campagna e la precedente operazione SmokeLoader si concentra su un loader noto come " Emmental ". Documentato per la prima volta nel 2024 da Orange Cyberdefense, Emmenhtal è un downloader multistrato che avvolge il suo payload finale in strati di offuscamento. Talos ha scoperto che varianti di Emmenhtal non sono state utilizzate solo nella campagna di phishing che ha preso di mira entità ucraine, ma anche incorporate in script ospitati su falsi account GitHub.

È inoltre degno di nota che diversi script dell'account " Milidmdds ", come " Work.js " e " Putikatest.js ", erano quasi identici a quelli visti nella campagna precedente. Le uniche differenze erano piccole modifiche nei nomi delle funzioni e nelle destinazioni finali del download. Invece di SmokeLoader, queste versioni recuperavano Amadey, eseguibili PuTTY e strumenti di accesso remoto come AsyncRAT.

L'uso di GitHub non si limitava ai dropper JavaScript. Talos trovò anche uno script Python chiamato " checkbalance.py " mascherato da strumento di crittografia. In realtà, decodificava ed eseguiva uno script PowerShell che scaricava Amadey da un indirizzo di comando e controllo noto. Inoltre, mostrava un messaggio di errore in cirillico frammentato, che suggeriva le sue origini o il pubblico a cui era destinato.

Sebbene GitHub abbia agito rapidamente chiudendo gli account identificati dopo essere stata avvisata, questo incidente evidenzia come le piattaforme comuni possano essere sfruttate per scopi illeciti. Negli ambienti in cui è richiesto l'accesso a GitHub, individuare questo tipo di abuso non è facile.

I ricercatori di Talos continuano a monitorare l'infrastruttura e ritengono che gli operatori distribuiscano payload per conto di più clienti. La varietà di infoStealer riscontrati in questi repository supporta questa teoria e, grazie all'accessibilità di GitHub, offre un metodo di distribuzione efficiente per le operazioni MaaS che desiderano rimanere inosservate.