Prima di procedere
Il 18 luglio 2025, gli esperti del team di sicurezza Cisco Talos hanno scoperto una sofisticata operazione di malware come servizio (o MaaS) che sfruttava la popolare piattaforma di sviluppo GitHub come vettore di distribuzione. Questo particolare attacco ha messo in luce come i criminali informatici stiano capitalizzando su servizi comunemente ritenuti affidabili per infiltrarsi in organizzazioni di tutto il mondo.
GitHub, utilizzato da innumerevoli aziende come repository sicuro per il proprio codice, si è rivelato una piattaforma efficace per gli hacker, grazie al fatto che, di norma, non viene bloccato dai filtri web delle reti aziendali. Questo perché molte aziende lo considerano fondamentale per le loro operazioni di sviluppo software. Tuttavia, dopo che Cisco Talos ha notificato questi abusi, l'amministrazione di GitHub ha agito rapidamente, rimuovendo tre account incriminati che distribuivano software malevolo.
This operation, iniziata nel febbraio di quest'anno, ha visto l'uso di un particolare loader di malware già noto, chiamato Emmenhtal o PeakLight. Questo strumento era precedentemente utilizzato tramite campagne email per diffondere il malware. Tuttavia, recentemente, il suo utilizzo è stato ampliato al contesto del MaaS, sfruttando GitHub come nuovo punto di distribuzione. Una caratteristica distintiva di questa campagna è stata l'installazione della piattaforma malevola Amadey sui computer delle vittime. Questo malware, scoperto per la prima volta nel 2018, è stato ampiamente utilizzato per creare botnet. La sua funzione principale è raccogliere informazioni di sistema dalle macchine infette e caricare payload secondari in base alla configurazione del sistema e ai fini della specifica campagna d'attacco.
Una volta che un sistema è compromesso da Amadey, gli operatori della campagna valutano quali payload aggiuntivi inviare al dispositivo, utilizzando un semplice URL su GitHub. Gli script Emmenhtal presentano una struttura a quattro livelli: tre servono per l'offuscamento, mentre il quarto livello funge da loader ed è implementato come script PowerShell. Il malware su GitHub si maschera abilmente da file MP4, mentre il loader in Python è noto con il nome di checkbalance.py.
Questo incidente mette in risalto la crescente creatività e adattabilità dei cyber criminali, che si indirizzano verso piattaforme sempre più sofisticate e insospettabili per portare a termine le proprie operazioni dannose. L'industria della sicurezza informatica deve dunque rimanere in costante allerta e continuare a innovare i propri metodi di difesa per poter tenere testa a queste minacce sempre più complesse.
