据来自Cisco Talos安全团队的研究人员发现,一家恶意软件即服务(MaaS)运营商正在利用公共GitHub账户作为渠道,向目标分发各种恶意软件。研究人员指出,GitHub为MaaS提供了一个可靠且易于使用的平台,因为许多企业网络依赖GitHub进行软件开发,因此不被阻拦。GitHub在接到Talos通知后,迅速移除了托管恶意负载的三个账户。
Talos的研究人员Chris Neal和Craig Jackson表示:“除了作为文件托管的便捷方式外,从GitHub下载文件可能绕过未配置阻止GitHub域的网页过滤。”许多软件开发团队需要访问GitHub,因此在这些环境中,恶意GitHub下载可能难以与常规网络流量区分。
这一活动自2025年2月以来一直在进行,使用了一种名为Emmenhtal的恶意载荷加载器。Talos发现相同的Emmenhtal变体在MaaS操作中被用于通过GitHub分发,而非直接攻击乌克兰实体。
一旦目标感染了Amadey,活动运营者便可以通过简单的GitHub URL选择向其传送的负载。Talos指出,这一GitHub托管的活动可能是更大MaaS操作的一部分,表明这些威胁行为者正在为其他个人或团体分发载荷。