GitHub被滥用分发恶意软件即服务载荷

思科Talos安全团队的研究人员发现，一个恶意软件即服务（MaaS）运营商滥用公共GitHub账户作为渠道，向目标分发多种恶意软件。

使用GitHub为恶意软件即服务提供了一个可靠且易于使用的平台，该平台在许多依赖代码仓库进行软件开发的企业网络中被放行。GitHub在接到Talos通知后不久便移除了托管恶意载荷的三个账户。

“除了作为简单的文件托管手段外，从GitHub仓库下载文件可能会绕过未配置阻止GitHub域的Web过滤，”Talos研究人员Chris Neal和Craig Jackson在周四写道。“虽然一些组织可以在其环境中阻止GitHub以遏制开源攻击工具和其他恶意软件的使用，但许多拥有软件开发团队的组织需要以某种方式访问GitHub。在这些环境中，恶意的GitHub下载可能难以与常规网络流量区分开来。”

Emmenhtal与Amadey的相遇

该活动自2025年2月以来持续进行，使用了一个先前已知的恶意软件加载器，追踪名包括Emmenhtal和PeakLight。安全公司Palo Alto Networks和乌克兰主要国家网络机构SSSCIP的研究人员已经记录了Emmenhtal在另一次活动中的使用，该活动将加载器嵌入恶意电子邮件中，向乌克兰实体分发恶意软件。Talos在MaaS操作中发现了相同的Emmenhtal变体，但这次加载器是通过GitHub分发的。

使用GitHub的活动与针对乌克兰实体的活动在另一个关键方面有所不同。针对乌克兰实体的活动的最终载荷是一个名为SmokeLoader的恶意后门，而GitHub活动安装的是Amadey，一个已知的独立恶意软件平台。Amadey于2018年首次被发现，最初用于组装僵尸网络。Talos表示，Amadey的主要功能是从受感染设备收集系统信息，并根据不同活动的特定目的，下载一组针对其个体特征定制的次级载荷。

恶意软件即服务操作

一旦目标感染了Amadey，活动操作者可以通过简单的GitHub URL选择向其传递哪些载荷。Talos发现，GitHub托管的活动可能是一个更大的MaaS操作的一部分。研究人员解释：

MaaS是一种商业模式，其中服务运营商出售对恶意软件或现有基础设施的访问权限。在Talos识别的操作中，操作者利用Amadey从虚假的GitHub仓库下载多种恶意软件家族到受感染的主机上。初始活动出现在2025年2月左右，与SmokeLoader活动的时间大致相同。

从单一基础设施分发几种不同的恶意软件家族表明，背后的威胁行为者正在为其他个人或组织分发载荷。此外，次级载荷的命令与控制（C2）基础设施与Amadey的不重叠。

活动中的Emmenhtal脚本包含相同的四层设计。其中三层充当混淆措施。第四层传递最终的PowerShell下载器脚本。

Talos还发现托管恶意软件的GitHub账户伪装成MP4文件和一个名为checkbalance.py的基于Python的自定义加载器。

周四的帖子提供了一系列指标，管理员和防御者可以用来确定网络是否成为该活动的目标。