Recentemente, pesquisadores da Cisco Talos revelaram que, em abril de 2025, hackers começaram a usar repositórios públicos do GitHub para hospedar componentes do malware Amadey. Essa técnica facilita a distribuição maliciosa sem passar por filtros tradicionais de segurança
Na campanha identificada, criminosos criaram contas falsas no GitHub (como Legendary99999, DFfe9ewf e Milidmdds) para armazenar e distribuir plug‑ins do Amadey, além de outros roubadores de dados como Lumma Stealer, RedLine e Rhadamanthys . O malware Emmenhtal (também chamado de PEAKLIGHT) é usado como um “loader” para baixar esses componentes a partir dos repositórios. Essa técnica é parecida com uma campanha de fevereiro de 2025, que usou o Emmenhtal para distribuir o SmokeLoader focado na Ucrânia
Além disso, o Amadey se destaca por poder estender suas funcionalidades via DLLs para roubo de credenciais e captura de tela. Foi descoberta ainda uma evolução em Python do Emmenhtal, com comandos PowerShell embutidos para baixar o Amadey de endereços IP codificados
Essa operação faz parte de um modelo “malware como serviço” (MaaS), onde criminosos se aproveitam da infraestrutura confiável do GitHub para hospedar e distribuir código malicioso com mais facilidade e menos chance de detecção
Dica de prevenção
-
Monitore o tráfego de saída: bloqueie acessos a domínios e IPs suspeitos, inclusive repositórios GitHub pouco conhecidos.
-
Use EDR/IDS confiáveis: soluções modernas detectam carregadores como Emmenhtal e plug‑ins maliciosos.
-
Eduque equipes sobre phishing: o ataque pode começar por e-mails com documentos maliciosos ou links para repositórios falsos.
O uso inovador do GitHub para distribuir malware como o Amadey amplia os métodos de ataque e dificulta a detecção tradicional. É essencial adotar monitoramento de rede, ferramentas especializadas e conscientização dos usuários. Conheça como a LC SEC pode fortalecer a segurança digital de sua empresa — oferecemos soluções robustas e suporte contínuo. Saiba mais em lcsec.io
Compartilhe nas redes sociais:
