GitHub misbruikt om Amadey, Lumma en Redline InfoStealers in Oekraïne te verspreiden

Een recent ontdekte Malware-as-a-Service (MaaS)-operatie gebruikt GitHub-repositories om een mix van infostealer-families te verspreiden. Deze campagne werd ontdekt door cybersecurityonderzoekers van Cisco Talos, die eerder vandaag hun bevindingen publiceerden. Hierin beschrijven ze hoe de kwaadwillenden achter deze activiteit de Amadey-bot gebruiken om malware rechtstreeks van openbare GitHub-pagina's naar geïnfecteerde systemen te halen.

Deze operatie kwam aan het licht in april 2025, maar de activiteit ervan gaat terug tot minstens februari, rond dezelfde tijd dat Oekraïense organisaties werden getroffen door phishingmails van SmokeLoader . Talos-analisten merkten een opvallende overlap in tactieken en infrastructuur op tussen die campagne en de nieuwe, door Amadey aangestuurde campagne, wat suggereert dat achter beide mogelijk dezelfde mensen zitten.

Wat in dit geval opviel, was het misbruik van GitHub . De aanvallers maakten nepaccounts aan en gebruikten deze als open directory's, hosting payloads, tools en Amadey plug-ins. Door gebruik te maken van het wijdverbreide gebruik en vertrouwen van GitHub in zakelijke omgevingen, omzeilden de aanvallers waarschijnlijk veel standaard webfilters die anders kwaadaardige domeinen zouden hebben geblokkeerd.

Eén GitHub-account in het bijzonder, volgens de technische blogpost van Cisco Talos, genaamd " Legendary99999 ", werd intensief gebruikt. Het hostte meer dan 160 repositories, elk met slechts één schadelijk bestand dat via een directe GitHub-URL kon worden gedownload.

Twee andere accounts, " Milidmdds " en " DFfe9ewf ", volgden een vergelijkbare aanpak, hoewel "DFfe9ewf" experimenteler leek. In totaal hostten deze accounts scripts, loaders en binaire bestanden van verschillende infostealer-families, waaronder Amadey, Lumma, Redline en AsyncRAT .

Amadey is niet nieuw. Het verscheen voor het eerst in 2018 op Russischtalige forums, werd verkocht voor ongeveer $ 500 en is sindsdien door verschillende groepen gebruikt om botnets te creëren en extra malware te verspreiden.

De malware kan systeeminformatie verzamelen, meer tools downloaden en de functionaliteit uitbreiden met plug-ins. Hoewel het vaak als downloader wordt gebruikt, kan het door zijn flexibele ontwerp een grotere bedreiging vormen, afhankelijk van hoe het is geconfigureerd.

De technische link tussen deze campagne en de eerdere SmokeLoader-operatie draait om een loader die bekendstaat als " Emmenhtal ". Emmenhtal, voor het eerst gedocumenteerd in 2024 door Orange Cyberdefense, is een meerlaagse downloader die zijn uiteindelijke payload in lagen van verduistering verpakt. Talos ontdekte dat varianten van Emmenhtal niet alleen werden gebruikt in de phishingcampagne die gericht was op Oekraïense entiteiten, maar ook waren ingebed in scripts die werden gehost op de neppe GitHub-accounts.

Wat ook opmerkelijk is, is dat verschillende scripts van het " Milidmdds "-account, zoals " Work.js " en " Putikatest.js ", vrijwel identiek waren aan die van de eerdere campagne. De enige verschillen waren kleine wijzigingen in functienamen en uiteindelijke downloaddoelen. In plaats van SmokeLoader haalden deze versies Amadey, PuTTY- uitvoerbare bestanden en tools voor externe toegang zoals AsyncRAT op.

Het gebruik van GitHub beperkte zich niet tot JavaScript-droppers. Talos vond ook een Python-script genaamd " checkbalance.py ", dat zich voordeed als een cryptotool. In werkelijkheid decodeerde en draaide het een PowerShell-script dat Amadey downloadde vanaf een bekend command-and-control-adres. Sterker nog, het toonde een foutmelding in gebroken Cyrillisch, wat verwees naar de oorsprong of het beoogde publiek.

Hoewel GitHub snel heeft gehandeld om de geïdentificeerde accounts te blokkeren na een waarschuwing, laat dit incident zien hoe alledaagse platformen voor kwaadaardige doeleinden kunnen worden misbruikt. In omgevingen waar toegang tot GitHub vereist is, is het niet eenvoudig om dit soort misbruik te ontdekken.

Onderzoekers van Talos blijven de infrastructuur monitoren en vermoeden dat de operators payloads distribueren namens meerdere klanten. De verscheidenheid aan infoStealers die in deze repositories worden aangetroffen, ondersteunt deze theorie. Dankzij de toegankelijkheid van GitHub biedt het een efficiënte distributiemethode voor MaaS-activiteiten die onopgemerkt willen blijven.