Un’analisi condotta dal team Talos di Cisco ha portato alla luce un’operazione malware-as-a-service (MaaS) che ha utilizzato GitHub come veicolo per distribuire software dannoso, sfruttando la fiducia che molte infrastrutture aziendali ripongono nella piattaforma. Attiva almeno da febbraio 2025, la campagna ha approfittato di repository pubblici per caricare e diffondere malware, eludendo controlli e filtri grazie all’apparente legittimità del dominio.
A rendere l’operazione particolarmente subdola è il modo in cui il traffico verso GitHub si mescola con le normali attività di sviluppo software, rendendo difficile distinguere il lecito dal pericoloso. Questo approccio ha consentito agli attori malevoli di nascondere i propri strumenti all’interno di flussi aziendali quotidiani.
Emmenhtal e Amadey: ritorni in nuove forme
Nel dettaglio, i ricercatori hanno identificato un loader già noto con i nomi Emmenhtal o PeakLight, precedentemente usato anche in campagne contro obiettivi istituzionali ucraini. Questa volta, il loader è stato distribuito direttamente tramite GitHub, fungendo da tramite per l’installazione di Amadey, un malware attivo dal 2018 progettato per raccogliere informazioni dai dispositivi infetti e scaricare ulteriori componenti in base all’obiettivo della campagna.
Gli URL utilizzati per consegnare i payload malevoli erano costruiti ad hoc, permettendo al gruppo responsabile di controllare in maniera precisa i file da installare su ogni macchina. La struttura modulare dell’architettura — con infrastrutture di comando e controllo (C2) separate per i vari livelli — suggerisce un’organizzazione orientata all’anonimato e alla scalabilità.
Un’operazione MaaS ben organizzata
Il modello emerso è tipico del malware-as-a-service, in cui chi opera la campagna fornisce accesso a strumenti pronti all’uso in cambio di denaro. I file distribuiti includevano, tra gli altri, falsi video MP4 e un loader Python denominato checkbalance.py. Secondo Talos, la struttura a quattro livelli del malware — con tre livelli di offuscamento e uno script PowerShell finale — mostra una progettazione complessa e pensata per aggirare i controlli automatici.
Dopo la segnalazione, GitHub ha rimosso i tre account coinvolti. Nel frattempo, gli esperti hanno pubblicato gli indicatori di compromissione per aiutare gli amministratori a rilevare e neutralizzare eventuali minacce già presenti nelle reti aziendali.
