GitHub missbraucht, um Amadey-, Lumma- und Redline-Infostealer in der Ukraine zu verbreiten

Eine neu identifizierte Malware-as-a-Service (MaaS)-Attacke nutzt GitHub-Repositories, um verschiedene Infostealer-Familien zu verbreiten. Diese Kampagne wurde von Cybersicherheitsforschern bei Cisco Talos entdeckt. Sie veröffentlichten heute ihre Ergebnisse und beschreiben, wie die dahinterstehenden Angreifer den Amadey-Bot nutzen, um Malware direkt von öffentlichen GitHub-Seiten auf infizierte Systeme zu übertragen.

Diese Operation tauchte im April 2025 auf, ihre Aktivitäten reichen jedoch mindestens bis Februar zurück, etwa zur selben Zeit, als ukrainische Organisationen mit SmokeLoader-Phishing-E-Mails konfrontiert wurden. Analysten von Talos stellten eine deutliche Überschneidung in Taktik und Infrastruktur zwischen dieser Kampagne und der neuen, von Amadey gesteuerten Kampagne fest, was darauf hindeutet, dass hinter beiden möglicherweise dieselben Hände stecken.

Auffällig in diesem Fall war der Missbrauch von GitHub . Die Angreifer erstellten gefälschte Konten und nutzten diese wie offene Verzeichnisse, hosteten Payloads, Tools und Amadey-Plugins. Indem sie die weite Verbreitung und das Vertrauen von GitHub in Unternehmensumgebungen ausnutzten, umgingen die Angreifer wahrscheinlich viele Standard-Webfilter, die sonst bösartige Domains blockiert hätten.

Insbesondere ein GitHub-Konto namens „ Legendary99999 “ wurde laut einem technischen Blog-Beitrag von Cisco Talos stark genutzt. Es hostete mehr als 160 Repositories, von denen jedes nur eine einzige schädliche Datei enthielt, die über eine direkte GitHub-URL heruntergeladen werden konnte.

Zwei weitere Konten, „ Milidmdds “ und „ DFfe9ewf “, verfolgten einen ähnlichen Ansatz, wobei „DFfe9ewf“ experimenteller zu sein schien. Insgesamt hosteten diese Konten Skripte, Loader und Binärdateien aus verschiedenen Infostealer-Familien, darunter Amadey, Lumma, Redline und AsyncRAT .

Amadey ist nicht neu. Es tauchte erstmals 2018 in russischsprachigen Foren auf, wurde für rund 500 Dollar verkauft und wurde seitdem von verschiedenen Gruppen genutzt, um Botnetze zu erstellen und zusätzliche Malware zu verbreiten.

Die Malware kann Systeminformationen abgreifen, weitere Tools herunterladen und ihre Funktionalität durch Plug-ins erweitern. Obwohl sie häufig als Downloader eingesetzt wird, kann sie aufgrund ihres flexiblen Designs je nach Konfiguration eine größere Bedrohung darstellen.

Die technische Verbindung zwischen dieser Kampagne und der früheren SmokeLoader-Operation besteht in einem Loader namens „ Emmenhtal “. Der erstmals 2024 von Orange Cyberdefense dokumentierte Downloader ist ein mehrschichtiger Downloader, der seine Nutzlast in Verschleierungsschichten hüllt. Talos stellte fest, dass Varianten von Emmenhtal nicht nur in der Phishing-Kampagne gegen ukrainische Unternehmen zum Einsatz kamen, sondern auch in Skripten auf den gefälschten GitHub-Konten eingebettet waren.

Bemerkenswert ist außerdem, dass mehrere Skripte des Kontos „ Milidmdds “, wie beispielsweise „ Work.js “ und „ Putikatest.js “, nahezu identisch mit denen der früheren Kampagne waren. Die einzigen Unterschiede bestanden in geringfügigen Änderungen der Funktionsnamen und der endgültigen Downloadziele. Anstelle von SmokeLoader riefen diese Versionen Amadey, PuTTY- Programme und Remote-Access-Tools wie AsyncRAT ab.

Die Nutzung von GitHub beschränkte sich nicht nur auf JavaScript-Dropper. Talos fand auch ein Python-Skript namens „ checkbalance.py “, das sich als Krypto-Tool ausgab. Tatsächlich entschlüsselte und führte es ein PowerShell-Skript aus, das Amadey von einer bekannten C&C-Adresse herunterlud. Darüber hinaus zeigte es eine Fehlermeldung in gebrochener kyrillischer Schrift an, die auf dessen Herkunft oder Zielgruppe hindeutete.

Obwohl GitHub nach der Benachrichtigung schnell reagierte und die identifizierten Konten sperrte, zeigt dieser Vorfall, wie alltägliche Plattformen für böswillige Zwecke missbraucht werden können. In Umgebungen, in denen GitHub-Zugriff erforderlich ist, ist es nicht einfach, diesen Missbrauch zu erkennen.

Die Talos-Forscher überwachen die Infrastruktur weiterhin und gehen davon aus, dass die Betreiber Nutzlasten im Auftrag mehrerer Kunden verteilen. Die Vielfalt der in diesen Repositories beobachteten Info-Stealer stützt diese Theorie. Dank der Zugänglichkeit von GitHub bietet es eine effiziente Bereitstellungsmethode für MaaS-Unternehmen , die unentdeckt bleiben möchten.