GitHub utilisé à mauvais escient pour diffuser des informations sur Amadey, Lumma et Redline en Ukraine

Une opération de type Malware-as-a-Service (MaaS) récemment identifiée utilise les dépôts GitHub pour diffuser un ensemble de familles de voleurs d'informations. Cette campagne a été repérée par des chercheurs en cybersécurité de Cisco Talos, qui ont publié leurs conclusions plus tôt dans la journée, détaillant comment les acteurs malveillants à l'origine de cette activité utilisent le bot Amadey pour transférer des logiciels malveillants directement depuis des pages GitHub publiques vers les systèmes infectés.

Cette opération a été lancée en avril 2025, mais son activité remonte au moins à février, à peu près au même moment où les organisations ukrainiennes étaient la cible d'e-mails de phishing de type SmokeLoader . Les analystes de Talos ont constaté une similitude notable entre les tactiques et l'infrastructure de cette campagne et celle menée par Amadey, suggérant que les deux pourraient être menées par les mêmes personnes.

Ce qui ressort de cette affaire, c'est l' utilisation abusive de GitHub . Les attaquants ont créé de faux comptes et les ont utilisés comme répertoires ouverts, hébergeant des charges utiles, des outils et des plug-ins Amadey. En exploitant l'utilisation répandue de GitHub et la confiance qu'il inspire dans les environnements d'entreprise, les attaquants ont probablement contourné de nombreux filtres web standards qui auraient pu bloquer les domaines malveillants.

Un compte GitHub en particulier, nommé « Legendary99999 », a été massivement utilisé, selon un article de blog technique de Cisco Talos. Il hébergeait plus de 160 dépôts, chacun contenant un seul fichier malveillant prêt à être téléchargé via une URL GitHub directe.

Deux autres comptes, « Milidmdds » et « DFfe9ewf », suivaient une approche similaire, bien que « DFfe9ewf » semblait plus expérimental. Au total, ces comptes hébergeaient des scripts, des chargeurs et des binaires de plusieurs familles d'infostealers, dont Amadey, Lumma, Redline et AsyncRAT .

Amadey n'est pas nouveau. Apparu pour la première fois en 2018 sur des forums russophones, vendu environ 500 dollars, il a depuis été utilisé par divers groupes pour créer des botnets et diffuser des logiciels malveillants.

Ce logiciel malveillant peut collecter des informations système, télécharger davantage d'outils et étendre ses fonctionnalités grâce à des plug-ins. Bien qu'il soit couramment utilisé comme téléchargeur, sa conception flexible signifie qu'il peut représenter une menace plus importante selon sa configuration.

Le lien technique entre cette campagne et l'opération SmokeLoader précédente repose sur un chargeur appelé «  Emmenhtal ». Documenté pour la première fois en 2024 par Orange Cyberdefense, Emmenhtal est un téléchargeur multicouche qui enveloppe sa charge utile finale de couches d'obfuscation. Talos a découvert que des variantes d'Emmenhtal étaient non seulement utilisées dans la campagne de phishing ciblant des entités ukrainiennes, mais également intégrées dans des scripts hébergés sur de faux comptes GitHub.

Il est également intéressant de noter que plusieurs scripts du compte « Milidmdds », tels que « Work.js » et « Putikatest.js », étaient quasiment identiques à ceux de la campagne précédente. Les seules différences résidaient dans des modifications mineures des noms de fonctions et des cibles de téléchargement finales. Au lieu de SmokeLoader, ces versions récupéraient Amadey, les exécutables PuTTY et des outils d'accès à distance comme AsyncRAT.

L'utilisation de GitHub ne se limitait pas aux droppers JavaScript. Talos a également détecté un script Python nommé « checkbalance.py » se faisant passer pour un outil de chiffrement. En réalité, il décodait et exécutait un script PowerShell qui téléchargeait Amadey depuis une adresse de commande et de contrôle connue. De plus, il affichait un message d'erreur en cyrillique erroné, laissant entrevoir son origine ou son public cible.

Bien que GitHub ait réagi rapidement pour fermer les comptes identifiés après avoir été alerté, cet incident illustre comment les plateformes du quotidien peuvent être exploitées à des fins malveillantes. Dans les environnements où l'accès à GitHub est requis, il est difficile de détecter ce type d'utilisation abusive.

Les chercheurs de Talos continuent de surveiller l'infrastructure et pensent que les opérateurs distribuent des charges utiles pour le compte de plusieurs clients. La diversité des infostealers observés dans ces dépôts corrobore cette théorie, et l'accessibilité de GitHub offre une méthode de distribution efficace pour les opérations MaaS souhaitant rester indétectables.