GitHub используется для распространения вредоносных программ Amadey, Lumma и Redline InfoStealers на Украине

Недавно выявленная операция «Вредоносное ПО как услуга» (MaaS) использует репозитории GitHub для распространения набора семейств инфокрадов. Эта кампания была обнаружена исследователями кибербезопасности из Cisco Talos, которые опубликовали свои выводы ранее сегодня, подробно описывая, как злоумышленники, стоящие за этой активностью, используют бота Amadey для переноса вредоносного ПО непосредственно с общедоступных страниц GitHub на зараженные системы.

Эта операция всплыла в апреле 2025 года, но её активность восходит как минимум к февралю, примерно в то же время, когда украинские организации подверглись атаке фишинговых писем SmokeLoader . Аналитики Talos заметили заметное совпадение тактики и инфраструктуры между этой кампанией и новой кампанией, организованной Amadey, что позволяет предположить, что за обеими могут стоять одни и те же люди.

В данном случае бросалось в глаза злоупотребление GitHub . Злоумышленники создали поддельные учётные записи и использовали их в качестве открытых каталогов, размещая полезные данные, инструменты и плагины Amadey. Пользуясь широким распространением и доверием GitHub в корпоративной среде, злоумышленники, вероятно, обошли множество стандартных веб-фильтров, которые в противном случае могли бы блокировать вредоносные домены.

В частности, как сообщается в техническом блоге Cisco Talos, один аккаунт GitHub под названием « Legendary99999 » активно использовался. В нём размещалось более 160 репозиториев, каждый из которых содержал всего один вредоносный файл, готовый к загрузке по прямой ссылке на GitHub.

Два других аккаунта, « Milidmdds » и « DFfe9ewf », использовали аналогичный подход, хотя «DFfe9ewf» выглядел более экспериментальным. В общей сложности, эти аккаунты размещали скрипты, загрузчики и исполняемые файлы из нескольких семейств инфостеров, включая Amadey, Lumma, Redline и AsyncRAT .

Amadey не новинка. Впервые он появился в 2018 году на русскоязычных форумах, продавался примерно за 500 долларов и с тех пор использовался различными группами для создания ботнетов и распространения вредоносного ПО.

Вредоносное ПО может собирать системную информацию, загружать дополнительные инструменты и расширять свою функциональность с помощью плагинов. Несмотря на то, что оно часто используется в качестве загрузчика, его гибкая структура означает, что оно может представлять большую угрозу в зависимости от настроек.

Техническая связь между этой кампанией и более ранней операцией SmokeLoader основана на загрузчике, известном как « Emmenhtal ». Emmenhtal, впервые описанный в 2024 году компанией Orange Cyberdefense, представляет собой многослойный загрузчик, который обволакивает свою полезную нагрузку слоями обфускации. Talos обнаружил, что варианты Emmenhtal использовались не только в фишинговой кампании, нацеленной на украинские организации, но и внедрялись в скрипты, размещенные на поддельных аккаунтах GitHub.

Также стоит отметить, что несколько скриптов из учётной записи « Milidmdds », такие как « Work.js » и « Putikatest.js », были практически идентичны тем, что использовались в предыдущей кампании. Различия заключались лишь в незначительных изменениях названий функций и конечных целей загрузки. Вместо SmokeLoader эти версии использовали исполняемые файлы Amadey, PuTTY и инструменты удалённого доступа, такие как AsyncRAT.

Использование GitHub не ограничивалось JavaScript-дропперами. Talos также обнаружил скрипт Python под названием « checkbalance.py », маскирующийся под криптографический инструмент. На самом деле он декодировал и запускал скрипт PowerShell, который загружал Amadey с известного адреса управления и контроля. Более того, он выводил сообщение об ошибке на ломаной кириллице, намекая на его происхождение или предполагаемую аудиторию.

Хотя GitHub оперативно заблокировал выявленные учётные записи после получения уведомления, этот инцидент наглядно демонстрирует, как обычные платформы могут использоваться во вредоносных целях. В средах, где требуется доступ к GitHub, обнаружить подобные злоупотребления непросто.

Исследователи Talos продолжают следить за инфраструктурой и полагают, что операторы распределяют полезную нагрузку от имени нескольких клиентов. Разнообразие infoStealer-ов, обнаруженное в этих репозиториях, подтверждает эту теорию, а благодаря доступности GitHub он предлагает эффективный способ доставки данных для MaaS-операций, стремящихся остаться незамеченными.