Negli ultimi mesi, l’uso malevolo di repository GitHub pubblici per distribuire malware come Amadey e vari stealer ha rappresentato una crescente minaccia per la sicurezza informatica. Esperti del settore hanno rilevato che gli operatori di servizi MaaS (malware-as-a-service) stanno sfruttando account GitHub falsi per ospitare payload, strumenti e plug-in di Amadey, aggirando così i filtri web e facilitando la distribuzione dei malware.

La catena di attacco parte spesso da loader sofisticati, come Emmenhtal, utilizzati per scaricare Amadey. Quest’ultimo, a sua volta, recupera diversi payload personalizzati direttamente dai repository GitHub controllati dagli attaccanti. Questa strategia è stata individuata per la prima volta in una campagna di aprile 2025, ma segue un modello già osservato in precedenti campagne di phishing, in particolare contro obiettivi ucraini, dove i cybercriminali usavano esche relative a fatture e pagamenti per indurre le vittime ad aprire allegati malevoli.

Funzionalità avanzate di Amadey

Amadey, rispetto a Emmenhtal, offre funzionalità più avanzate: non solo funge da downloader di ulteriori minacce, ma può anche raccogliere informazioni di sistema ed essere potenziato tramite plug-in DLL, ad esempio per il furto di credenziali o la cattura di screenshot. In passato, è stato usato anche per veicolare ransomware come LockBit 3.0. L’analisi delle campagne più recenti ha rivelato che almeno tre account GitHub erano coinvolti nell’hosting di plug-in Amadey e payload secondari come Lumma Stealer, RedLine Stealer, Rhadamanthys Stealer e script per altri attacchi.

Evoluzione delle tecniche di attacco

Non solo JavaScript ma anche script Python sono stati trovati nei repository GitHub compromessi, dimostrando una continua evoluzione delle tecniche di attacco, con l’integrazione di comandi PowerShell per scaricare Amadey da indirizzi IP codificati. Tutto indica che dietro queste attività vi sia una più ampia operazione MaaS che abusa della popolare piattaforma di code hosting di Microsoft.

Phishing e nuove campagne

Parallelamente, si è osservato l’aumento di campagne phishing che distribuiscono loader come SquidLoader, dotati di tecniche anti-analisi e anti-sandbox, e veicolano strumenti di controllo remoto come Cobalt Strike. Queste campagne spesso sfruttano temi finanziari, fiscali o amministrativi per ingannare le vittime, usando anche kit di phishing basati su HTML, JavaScript o Python Flask e tecniche di evasione come il cloaking e l’uso di QR code.

La crescente sofisticazione degli attacchi, l’utilizzo di piattaforme legittime come GitHub per ospitare malware e la varietà di tecniche social engineering e anti-rilevamento, pongono nuove sfide alle aziende e agli utenti, richiedendo soluzioni di sicurezza sempre più proattive e aggiornate.