Questa estate è emersa una campagna sofisticata di Malware‑as‑a‑Service (MaaS) che sfrutta GitHub come piattaforma di distribuzione dei malware. Alcuni cybercriminali hanno creato account falsi e repository pubblici per ospitare loader e tool malevoli, rendendo la piattaforma un canale invisibile e affidabile agli occhi delle reti aziendali.
La tattica prevede l’uso del loader Emmenhtal (noto anche come PeakLight), progettato per aggirare i controlli. Il codice esegue JavaScript offuscati, lancia uno script PowerShell via ActiveXObject, decifra contenuti AES e scarica infine il payload vero e proprio. In modo coercitivo, Emmenhtal distribuisce il trojan Amadey, che a sua volta scarica moduli secondari da GitHub. Quindi, stealer come RedLine, Lumma, Rhadamanthys e persino ransomware o tool di accesso remoto come AsyncRAT.
Perché GitHub è il canale ideale dei cybercriminali per diffondere malware
GitHub è spesso consentito in ambito aziendale, ragione per cui il traffico da siti ufficiali difficilmente viene bloccato. Il risultato è che il download di payload mascherati come strumenti legittimi – per editing immagini, VPN gratuite o utility varie – sfugge ai sistemi di sicurezza. Gli operatori dietro l’operazione hanno utilizzato account come “Legendary99999”, “DFfe9ewf” o “Milidmdds” per ospitare centinaia di repository malevoli, spesso mascherati da software innocui.
Questi repository contenevano script e file apparentemente innocui (come MP4, script Python tipo “checkbalance.py” o ZIP protetti da password), che attivavano sequenze di download automatici una volta scaricati. La struttura modulare del MaaS consente agli affiliati di selezionare quale malware rilasciare, tramite semplici URL diretti. GitHub ha già rimosso gli account coinvolti, ma la campagna ha messo in luce la vulnerabilità dei repository open-source come tramite delle minacce. Oltre al noto network “Stargazers Ghost Network” con migliaia di account fantasma, la strategia MaaS evidenzia come la criminalità informatica sia sempre più sofisticata e stia adottando servizi fai da te simili a quelli legali.
Cosa devono fare le aziende e gli utenti
Per difendersi, è fondamentale limitare l’accesso a script sospetti, monitorare l’esecuzione di PowerShell e implementare sistemi di monitoraggio per identificare processi insoliti di download o esecuzione. Bisogna anche riesaminare le policy su GitHub e considerare la restrizione di esecuzione da cartelle come AppData, dove spesso vengono inseriti i malware. Questa operazione MaaS rappresenta il lato oscuro di questi strumenti: accessibili anche a criminali con poca esperienza, ma con impatto potenzialmente devastante. GitHub – pur essendo una piattaforma legittima – si è dimostrata un terreno fertile quando l’intento è malevolo. Serve dunque maggiore vigilanza, strumenti di difesa dati‑centrici e politiche aziendali più restrittive per il download da repository.
