Cisco 的 Talos 安全团队发现了一个“恶意软件即服务”（MaaS）运营商，其利用公共 GitHub 账户作为向目标分发各种恶意软件的渠道。

• GitHub 为 MaaS 提供了一个可靠且易于使用的平台，许多依赖该代码仓库开发软件的企业网络都允许使用。Talos 通知 GitHub 后，其删除了托管恶意有效负载的三个账户。
• 从 GitHub 仓库下载文件可绕过未配置阻止 GitHub 域的网络过滤，一些组织可在其环境中阻止 GitHub 以遏制开源攻击工具和其他恶意软件的使用，但许多软件开发团队的组织需要一定程度的 GitHub 访问，这使得恶意 GitHub 下载难以与常规网络流量区分。

该活动自 2 月开始，使用了先前已知的名为 Emmenhtal 和 PeakLight 的恶意软件加载器。Palo Alto Networks 和乌克兰主要国家网络安全机构 SSSCIP 已记录了在另一个活动中使用 Emmenhtal 将加载器嵌入恶意电子邮件中向乌克兰实体分发恶意软件。Talos 在 MaaS 操作中发现了相同的 Emmenhtal 变体，但这次是通过 GitHub 分发的。

• 针对乌克兰实体的活动最终有效负载是名为 SmokeLoader 的恶意后门，而通过 GitHub 的活动安装了名为 Amadey 的单独恶意软件平台。Amadey 于 2018 年首次出现，最初用于组建僵尸网络，其主要功能是从受感染设备收集系统信息，并根据不同活动的特定目的下载一组定制的次要有效负载。
• 一旦目标感染 Amadey，活动操作员可通过简单的 GitHub URL 选择要交付的有效负载。Talos 发现 GitHub 托管的活动可能是更大 MaaS 操作的一部分，操作员利用 Amadey 从虚假 GitHub 仓库将各种恶意软件家族下载到受感染的主机上，初始活动始于 2025 年 2 月，与 SmokeLoader 活动同时。从单个基础设施分发多个不同的恶意软件家族表明 Amadey 背后的威胁行为者在为其他个人或团体分发有效负载，且次要有效负载的命令和控制（C2）基础设施与 Amadey 不重叠。
• 活动中的 Emmenhtal 脚本具有相同的四层设计，其中三层作为混淆措施，第四层交付最终的 PowerShell 下载器脚本。Talos 还发现了托管伪装为 MP4 文件的恶意软件和名为 checkbalance.py 的自定义基于 Python 的加载器的 GitHub 账户。
• 周四的帖子提供了管理员和防御者可用于确定网络是否在该活动中被目标的指标列表。