I ricercatori del team Talos di Cisco hanno scoperto un'operazione di malware-as-a-service (MaaS) che ha utilizzato GitHub come piattaforma di distribuzione per una varietà di software malevolo, approfittando della fiducia che molte reti aziendali ripongono nel popolare servizio di hosting per sviluppatori. Secondo quanto riportato, l'operazione — attiva almeno dal febbraio 2025 — ha impiegato account pubblici su GitHub per caricare e diffondere payload malevoli, sfruttando il fatto che il dominio del servizio non è bloccato nella maggior parte delle infrastrutture IT, specialmente quelle che fanno uso quotidiano di strumenti open source. Subito dopo la segnalazione, GitHub ha provveduto a rimuovere i tre account coinvolti.
UN CANALE DIFFUSO E INSOSPETTABILECome spiegano Chris Neal e Craig Jackson, autori dell'analisi pubblicata giovedì da Talos, “oltre a essere un mezzo semplice per l'hosting di file, scaricare file da un repository GitHub può aggirare i filtri Web non configurati per bloccare il dominio”. In molte aziende che si affidano a GitHub per lo sviluppo software, l'attività di download da tali repository può passare inosservata, rendendo difficile distinguere il traffico legittimo da quello malevolo.
Questo approccio ha permesso agli attori malevoli di mascherare la distribuzione dei loro strumenti all'interno di flussi di lavoro apparentemente legittimi, rendendo la campagna particolarmente subdola e difficile da rilevare in contesti aziendali.
EMMENHTAL E AMADEY: VECCHI NOMI, NUOVI SCENARIL'operazione individuata da Talos ha utilizzato un loader già noto agli analisti di sicurezza, identificato in passato con i nomi Emmenhtal o PeakLight. Questo stesso loader era stato documentato nei mesi scorsi da Palo Alto Networks e dall'agenzia statale ucraina SSSCIP in una campagna che prendeva di mira soggetti istituzionali ucraini tramite email infette, veicolando il malware SmokeLoader.
Nel caso descritto da Talos, invece, Emmenhtal è stato distribuito direttamente da GitHub e ha agito come veicolo per l'installazione di Amadey, un'altra piattaforma malevola nota dal 2018 che ha lo scopo di raccogliere informazioni sui sistemi infetti e scaricare ulteriori payload, adattati al singolo dispositivo compromesso e alla finalità della specifica campagna. La consegna dei payload avviene tramite URL di GitHub creati ad hoc, consentendo agli operatori di controllare in modo granulare quali componenti infettivi inviare in funzione delle esigenze di ciascun cliente o attacco.
UN MODELLO DI BUSINESS MALWARE-AS-A-SERVICEScondo Talos, lo scenario si inserisce in un modello economico ben strutturato, dove gli operatori del MaaS vendono accesso a infrastrutture preconfigurate e a tool malevoli pronti all'uso. In questo caso, Amadey è stato utilizzato per scaricare differenti famiglie di malware da repository GitHub fittizi, suggerendo che il gruppo dietro l'operazione agisca come distributore per conto terzi.
Talos osserva inoltre che le infrastrutture di comando e controllo (C2) dei payload secondari risultano completamente distinte da quelle usate da Amadey, confermando l'ipotesi di un'architettura modulare, pensata per offrire flessibilità e anonimato operativo.I loader Emmenhtal analizzati mostrano una struttura a quattro livelli: tre di questi servono da livelli di offuscamento, mentre il quarto contiene uno script PowerShell responsabile del download finale del malware.
Infine, tra i file distribuiti sono stati individuati anche finti file MP4 contenenti malware e uno specifico loader Python personalizzato chiamato checkbalance.py. Tutti i dettagli tecnici, compresi gli indicatori di compromissione (IOC), sono stati pubblicati da Talos per aiutare amministratori e responsabili della sicurezza a rilevare eventuali infezioni all'interno delle proprie reti.
Ex-McDonald’s chef reveals Snack Wraps return is causing “havoc”