Cibercriminosos estão usando repositórios públicos do GitHub para hospedar cargas maliciosas e distribuir o malware Amadey como parte de uma campanha detectada em abril de 2025. Ao criar contas falsas na plataforma de hospedagem de código, os operadores tentam burlar filtros web e facilitar a entrega de ferramentas, plug-ins e scripts nocivos.
A cadeia de ataque envolve o uso de um carregador de malware chamado Emmenhtal (também conhecido como PEAKLIGHT), que instala o Amadey nos sistemas infectados. Este, por sua vez, baixa outros malwares de repositórios públicos no GitHub, incluindo ladrões de dados como Lumma Stealer, RedLine Stealer e Rhadamanthys Stealer. As contas no GitHub usadas para essa atividade foram derrubadas após a descoberta. Amadey é conhecido por baixar cargas secundárias, coletar informações do sistema e usar plug-ins em DLL para ampliar suas funções, como roubo de credenciais e captura de telas. Diferente do Emmenhtal, ele já foi usado também para espalhar ransomwares como o LockBit 3.0.
Scripts JavaScript e Python encontrados nos repositórios sugerem que o carregador foi atualizado para incorporar comandos PowerShell que buscam o Amadey diretamente de endereços IP hardcoded. A operação faz parte de um modelo MaaS (malware como serviço) que abusa de plataformas legítimas para driblar mecanismos de segurança. A divulgação coincide com outras campanhas de phishing direcionadas, que usam iscas com temas financeiros, fiscais e até QR codes em PDFs para roubar credenciais ou instalar softwares de acesso remoto. Técnicas como o uso de arquivos compactados com senha e páginas falsas hospedadas na AWS também têm sido exploradas para escapar de filtros e antivírus, mostrando a sofisticação crescente dessas campanhas.
