GitHub é usado para disseminar os InfoStealers Amadey, Lumma e Redline na Ucrânia

Uma operação de Malware como Serviço (MaaS) recém-identificada está usando repositórios do GitHub para disseminar uma variedade de famílias de infostealers. A campanha foi identificada por pesquisadores de segurança cibernética da Cisco Talos, que publicaram suas descobertas hoje cedo, detalhando como os agentes de ameaças por trás dessa atividade estão usando o bot Amadey para extrair malware diretamente de páginas públicas do GitHub para sistemas infectados.

Esta operação surgiu em abril de 2025, mas suas atividades remontam pelo menos a fevereiro, na mesma época em que organizações ucranianas estavam sendo atingidas por e-mails de phishing do SmokeLoader . Analistas da Talos notaram uma sobreposição notável de táticas e infraestrutura entre aquela campanha e a nova, liderada por Amadey, sugerindo que as mesmas mãos podem estar por trás de ambas.

O que se destacou neste caso foi o abuso do GitHub . Os invasores criaram contas falsas e as utilizaram como diretórios abertos, hospedando payloads, ferramentas e plug-ins do Amadey. Aproveitando o amplo uso e a confiança do GitHub em ambientes corporativos, os invasores provavelmente contornaram muitos filtros padrão da web que, de outra forma, poderiam ter bloqueado domínios maliciosos.

Uma conta do GitHub em particular, conforme publicação técnica do blog Cisco Talos, chamada " Legendary99999 ", foi muito utilizada. Ela hospedava mais de 160 repositórios, cada um contendo apenas um arquivo malicioso pronto para ser baixado por meio de uma URL direta do GitHub.

Duas outras contas, " Milidmdds " e " DFfe9ewf ", seguiram uma abordagem semelhante, embora "DFfe9ewf" parecesse mais experimental. No total, essas contas hospedavam scripts, carregadores e binários de diversas famílias de infostealers, incluindo Amadey, Lumma, Redline e AsyncRAT .

O Amadey não é novo. Apareceu pela primeira vez em 2018 em fóruns de língua russa, vendido por cerca de US$ 500, e desde então tem sido usado por vários grupos para criar botnets e disseminar malware adicional.

O malware pode coletar informações do sistema, baixar mais ferramentas e expandir sua funcionalidade com plug-ins. Apesar de ser comumente usado como um downloader, seu design flexível significa que pode representar uma ameaça maior, dependendo de como for configurado.

O elo técnico entre esta campanha e a operação anterior, SmokeLoader, centra-se em um carregador conhecido como " Emmenhtal ". Documentado pela primeira vez em 2024 pela Orange Cyberdefense, o Emmenhtal é um downloader multicamadas que envolve sua carga final em camadas de ofuscação. A Talos descobriu que variantes do Emmenhtal não foram usadas apenas na campanha de phishing que teve como alvo entidades ucranianas, mas também incorporadas em scripts hospedados nas contas falsas do GitHub.

Outro ponto digno de nota é que vários scripts da conta " Milidmdds ", como " Work.js " e " Putikatest.js ", eram quase idênticos aos vistos na campanha anterior. As únicas diferenças eram pequenas alterações nos nomes das funções e nos destinos finais de download. Em vez do SmokeLoader, essas versões buscavam executáveis do Amadey, do PuTTY e ferramentas de acesso remoto como o AsyncRAT.

O uso do GitHub não se limitou a droppers de JavaScript. O Talos também encontrou um script Python chamado " checkbalance.py " disfarçado de ferramenta de criptografia. Na realidade, ele decodificou e executou um script do PowerShell que baixou o Amadey de um endereço de comando e controle conhecido. Além disso, exibiu uma mensagem de erro em cirílico quebrado, indicando sua origem ou público-alvo.

Embora o GitHub tenha agido rapidamente para encerrar as contas identificadas após ser alertado, este incidente destaca como plataformas comuns podem ser exploradas para fins maliciosos. Em ambientes onde o acesso ao GitHub é necessário, detectar esse tipo de uso indevido não é fácil.

Os pesquisadores do Talos continuam monitorando a infraestrutura e acreditam que os operadores estejam distribuindo payloads em nome de vários clientes. A variedade de infoStealers observada nesses repositórios corrobora essa teoria e, com a acessibilidade do GitHub, ele oferece um método de entrega eficiente para operações MaaS que buscam permanecer indetectáveis.