Cyberkriminelle nutzen GitHub zur Verbreitung von Schadsoftware

Cyberbedrohungsakteure missbrauchen zunehmend GitHub-Konten, um Schadsoftware, Tools und Plug-ins für die Malware Amadey zu hosten. Dabei kommt es im Rahmen sogenannter Malware-as-a-Service (MaaS)-Operationen zu gezielten Angriffen – unter anderem auf ukrainische Unternehmen.

Wie eine Analyse des IT-Sicherheitsunternehmens Talos zeigt, wurden Varianten der Schadsoftware Emmenhtal, die strukturelle Ähnlichkeiten aufweisen, in öffentlich zugänglichen GitHub-Repositories entdeckt. Diese nutzten statt Emmenhtal die Malware Amadey, um aus gefälschten GitHub-Konten weitere Schadcode-Komponenten nachzuladen.

• Im April 2025 identifizierte Cisco Talos eine Malware-as-a-Service-Operation (MaaS), die Amadey zur Bereitstellung von Payloads nutzte.
• Die MaaS-Betreiber verwendeten gefälschte GitHub-Konten, um Payloads, Tools und Amadey-Plug-ins zu hosten, wahrscheinlich um Webfilter zu umgehen und die Nutzung zu vereinfachen.
• Mehrere Taktiken, Techniken und Verfahren (TTPs) der Betreiber überschneiden sich mit einer SmokeLoader-Phishing-Kampagne, die Anfang 2025 identifiziert wurde und auf ukrainische Unternehmen abzielte.
• Die gleiche Variante von Emmenhtal, die in der SmokeLoader-Kampagne identifiziert wurde, wurde von der MaaS-Operation zum Herunterladen von Amadey-Payloads und anderen Tools verwendet.

Emmenhtal und Amadey

Der Emmenhtal-Loader ist ein mehrstufiger Downloader, der von Kroll und Orange Cyberdefense gemeldet wurde. Er wurde im August 2024 von Orange Cyberdefense „Emmenhtal“ getauft, wird jedoch manchmal auch als „PEAKLIGHT“ bezeichnet, wie Mandiant den PowerShell-Downloader der letzten Stufe nennt. Orange und Talos haben Aktivitäten beobachtet, die offenbar Elemente des Emmenhtal-Loaders enthalten und bis April 2024 zurückreichen.

Emmenhtal-Varianten wurden in anderen Dateien eingebettet und in einem eigenständigen Format bereitgestellt gefunden. Jeder Loader umfasst in der Regel vier Schichten – drei, die der Verschleierung dienen, und das abschließende PowerShell-Downloader-Skript. Diese Schichten werden im Abschnitt „Emmenhtal-Ähnlichkeiten zwischen Aktivitätsclustern“ weiter unten beschrieben.

Amadey (oder Amadey-Bot) tauchte ursprünglich Ende 2018 in russischsprachigen Hacking-Foren mit einem Preis von 500 US-Dollar auf. Es wurde zunächst von verschiedenen Bedrohungsakteuren zum Aufbau von Botnets verwendet. Amadey wurde auch dabei beobachtet, wie es andere Malware wie Redline, Lumma, StealC und SmokeLoader verbreitete.

Die Hauptfunktionen von Amadey bestehen darin, Systeminformationen zu sammeln und sekundäre Payloads auf einen infizierten Host herunterzuladen. Amadey ist jedoch modular aufgebaut und seine Funktionalität kann mit einer Reihe von Plugins erweitert werden. Diese Plugins liegen in Form von Dynamic Link Libraries (DLLs) vor, die je nach gewünschter Funktionalität ausgewählt werden können, z. B. Screenshot-Funktionen oder das Sammeln von Anmeldedaten. Trotz seiner häufigen Verwendung als Downloader kann Amadey eine ernsthafte Bedrohung darstellen.

GitHub als offenes Verzeichnis

Während der Untersuchung der MaaS-Operation durch Talos wurden drei GitHub-Konten entdeckt, die als offene Verzeichnisse für das Hosten von Tools, sekundären Payloads und Amadey-Plugins verwendet wurden:

• Legendary99999
• DFfe9ewf
• Milidmdds

Das Herunterladen von Dateien aus einem GitHub-Repository ist nicht nur eine einfache Möglichkeit zum Hosten von Dateien, sondern kann auch Webfilter umgehen, die nicht für die Blockierung der GitHub-Domain konfiguriert sind. Einige Unternehmen können GitHub in ihrer Umgebung blockieren, um die Verwendung von Open-Source-Tools und anderer Malware zu unterbinden. Viele Unternehmen mit Softwareentwicklungsteams benötigen jedoch in gewissem Umfang Zugriff auf GitHub. In solchen Umgebungen kann es schwierig sein, bösartige GitHub-Downloads vom normalen Webdatenverkehr zu unterscheiden.

Talos meldete die oben aufgeführten Konten an GitHub, das sie umgehend sperrte.

Legendary99999

„Legendary99999“ scheint das am häufigsten verwendete Konto gewesen zu sein und enthielt über 160 Repositorys mit zufälligen Namen. Jedes dieser Repositorys enthielt eine einzelne Datei im Abschnitt „Releases“:

Übersicht über das GitHub-Konto DFfe9ewf / Quelle: Talos

Die Malware-Downloads erfolgten über strukturierte URLs im „Releases“-Bereich von GitHub. Dadurch konnte die Nutzlast reibungslos übertragen werden, ohne dass sich die Command-and-Control-Infrastrukturen (C2) von Amadey und der nachgelagerten Schadsoftware überschneiden.

Technische Parallelen zwischen den Angriffskampagnen zeigen sich vor allem in den Verschleierungsmethoden der Schadsoftware Emmenhtal: Eine Variante weist zweistellige Variablennamen numerischen Werten in durch Kommas getrennten Zeichenfolgen zu. Eine andere nutzt ActiveXObject über WScript.Shell zur Ausführung verschlüsselter PowerShell-Kommandos.

Eine weitere Variante entschlüsselt zunächst einen AES-verschlüsselten Datenblock, bevor sie Schadsoftware wie Amadey, AsyncRAT oder auch legitime Tools wie PuTTY.exe nachlädt – ein Hinweis auf die Anpassungsfähigkeit der Operation an unterschiedliche Anforderungen.

Zusätzliche Varianten tarnen sich als MP4-Dateien auf Domains wie pivqmane[.]com. Dies deckt sich mit bisherigen Berichten über Emmenhtal, der häufig als Multimedia-Dateiformat getarnt auftritt. Auch ein gezielt entwickeltes Python-Skript namens „checkbalance.py“ in den Repositories von Milidmdds zählt dazu.

Dieses Skript gibt sich als Tool zur Abfrage von Kryptowährungskonten bei Zerion aus, enthält jedoch eine in Base64 komprimierte Lambda-Funktion. Diese führt PowerShell-Befehle aus, um etwa Amadey von IP-Adressen wie 185.215.113.16 zu laden und bekannte C2-Server wie 185.215.113.43/Zu7JuNko/index.php zu kontaktieren.

Die Sicherheitsforscher von Talos meldeten die betreffenden GitHub-Konten, woraufhin sie zügig entfernt wurden – ein Beispiel für die Rolle der Plattform bei der Malware-Verbreitung und den Handlungsbedarf hinsichtlich besserer Kontrolle.

Die seit Anfang 2025 aktive Malware-as-a-Service-Operation zeigt deutlich, wie Angreifer legitime Plattformen für ihre Zwecke nutzen. Durch die Kombination aus Phishing, Loadern und modularen Botnets werden gezielt Opfer angegriffen, während sich die Kampagnen durch verschleierte Lieferketten und getrennte C2-Infrastrukturen einer Entdeckung entziehen.

Unternehmen wird geraten, Webfilter so zu konfigurieren, dass GitHub-Datenverkehr überprüft und verdächtige Downloads erkannt werden, um potenzielle Gefahren frühzeitig abzuwehren.

Quelle: Talos 

---