Эксперты Cisco Talos раскрыли масштабную кибероперацию, в рамках которой злоумышленники применяют открытую платформу GitHub как канал распространения вредоносных программ. В отчёте компании сообщается, что атака организована по модели MaaS — «вредоносное ПО как услуга» — и ориентирована на использование ботнета Amadey и загрузчиков Emmenhtal, распространяющих такие инструменты, как SmokeLoader, Lumma и AsyncRAT.
Исследование показало, что на начальном этапе атаки, зафиксированной в феврале 2025 года, злоумышленники применяли фишинговые письма с архивами, содержащими JavaScript-файлы. Эти скрипты активировали загрузку SmokeLoader. При дальнейшем анализе специалисты обнаружили, что новые версии Emmenhtal распространяются уже напрямую через публичные репозитории GitHub, исключая этап рассылки по почте.
В отчёте Cisco Talos подчёркивается, что злоумышленники организовали на GitHub структуру для хранения и последующей доставки вредоносных компонентов. Среди выявленных аккаунтов выделяются три профиля, активно использовавшиеся в рамках атаки. Аккаунт Legendary99999 содержит свыше 160 репозиториев с вредоносными компонентами. DFfe9ewf предположительно использовался для тестов и хранения инструментов, таких как Selenium WebDriver и DInvoke. Профиль Milidmdds предоставлял скрипты JavaScript и модифицированные версии Emmenhtal на Python.
Каждый файл в этих репозиториях был настроен на загрузку по прямым ссылкам, позволяя заражённой системе получать данные с GitHub незаметно. В результате Amadey, установленный на компьютере жертвы, получал команды и загружал дополнительные модули прямо с платформы, которая нередко считается доверенной в корпоративной среде. Это значительно осложняет выявление атаки средствами традиционного мониторинга трафика.
По мнению специалистов Cisco Talos, подобная тактика становится всё более популярной среди операторов MaaS, поскольку позволяет обойти фильтрацию и замаскировать распространение вредоносного кода под легитимные обращения к популярным ресурсам.