Una nueva campaña de distribución de malware que aprovecha los repositorios públicos de GitHub como una infraestructura de entrega para varias cargas maliciosas ha sido descubierto por investigadores de seguridad de Cisco Talos. La operación utiliza los cargadores Amadey Botnet y Emmenhtal para entregar malware, incluidos Smokeloader, Lumma y Asyncrat, a sistemas comprometidos. Los cargadores Emmenhtal encontraron campañas de correo electrónico fuera de un aviso publicado hoy, Cisco Talos declaró que inicialmente observó el cargador Emmenhtal a principios de febrero de 2025, dentro de los correos electrónicos de phishing dirigidos a las organizaciones ucranianas. Estos mensajes incluyeron archivos adjuntos comprimidos con archivos JavaScript diseñados para implementar SmokelOADER. Sin embargo, un análisis posterior reveló variantes emmenhtales adicionales cargadas directamente a los repositorios públicos de GitHub, sin pasar por alto la distribución por correo electrónico por completo. A diferencia de la campaña inicial, estas muestras entregaron a Amadey, que posteriormente descargó cargas útiles secundarias de GitHub. La firma de ciberseguridad descubrió que estas campañas alojadas en Github probablemente eran parte de una operación de malware como servicio de malware (MAAS). Los operadores utilizaron GitHub como directorio abierto, explotando la accesibilidad de la plataforma para alojar cargas útiles, herramientas y complementos asociados con Amadey. Debido a que a Github a menudo se permite en entornos empresariales, las descargas maliciosas son más difíciles de detectar. Lea más sobre los cargadores de malware: los actores de amenazas atacan a las víctimas con Hijackloader y los investigadores del Deerstealer Cisco Talos identificaron tres cuentas principales vinculadas a la campaña: Legendary99999, alojamiento de más de 160 repositorios llenos de cargas de malware DFFE9EWF, probablemente una cuenta de cuentas de herramientas como Selenium y DinVoke Milidmdds, conteniendo los scripts de Malificio Malcacios y una cuenta de herramientas y una cuenta de herramientas y una cuestión de herramientas y un WebdRiver Milidmdds de malware, conteniendo los scripts de Malicato de malware y un testamento de herramientas y una cuenta de herramientas de Toolenium y un testimonio de los Dinvoke Milidmdds, conteniendo los scripts de Malicato de malware y una cuenta de herramientas y una cuenta de herramientas y un testimonio. La variante de Python de los archivos Emmenhtal alojados por estas cuentas se estructuró para ser descargada a través de URL directas de GitHub, lo que permite a Amadey buscarlas y ejecutarlas después de la infección. Enlaces técnicos entre campañas a pesar de los diferentes métodos de distribución, los guiones Emmenhtal que se encuentran en los repositorios de GitHub reflejaban los utilizados en la anterior campaña de phishing dirigida a ucraniana. Presentaron la misma arquitectura de cuatro capas, que comprende: el desactivado de JavaScript ActiveXObject basado en PowerShell Launcher AES-Crypted Blob Final PowerShell Downloader dirigido a IPS específicos de la campaña también empleó variantes disfrazadas como archivos de MP4 y un Cadena de carga de Python de Python única, «CheckBalance.py», que pretendió verificar los equilibrios de cuentas de las crías antes de lanzar los equilibrios de la cuenta de Powershell de Python. Para defenderse de amenazas similares, las organizaciones deben implementar un filtrado estricto para los archivos adjuntos basados en script, monitorear la ejecución de PowerShell y evaluar las políticas de acceso de GitHub cuando sea posible. El monitoreo de defensa en profundidad y de comportamiento puede ayudar a detectar patrones de descarga inusuales o ejecución de la carga útil. Talos ha informado de las cuentas identificadas a GitHub, que eliminó rápidamente el contenido.