В изощрённой киберкампании, наблюдавшейся в апреле 2025 года, злоумышленники использовали публичные репозитории GitHub для хранения и распространения вредоносных нагрузок через загрузчик malware Amadey. Согласно отчёту исследователей Cisco Talos Криса Нила и Крейга Джексона, операторы malware-as-a-service (MaaS) создавали фейковые аккаунты на GitHub для размещения нагрузок, инструментов и плагинов Amadey, стремясь обойти веб-фильтры и упростить использование.

Цепочка атаки начинается с загрузчика malware под названием Emmenhtal (также известного как PEAKLIGHT), который доставляет Amadey. Этот загрузчик затем загружает кастомные нагрузки из репозиториев GitHub, управляемых злоумышленниками. Тактика напоминает фишинговую кампанию по электронной почте в феврале 2025 года, которая использовала приманки в виде счетов и платежей для распространения SmokeLoader через Emmenhtal в атаках на украинские организации.

Оба Emmenhtal и Amadey функционируют как загрузчики для вторичных угроз, таких как инфостилеры, хотя Amadey ранее использовался для доставки ransomware вроде LockBit 3.0. В отличие от Emmenhtal, Amadey собирает информацию о системе и может расширяться с помощью DLL-плагинов для функций вроде кражи учётных данных или захвата скриншотов.

Анализ Cisco Talos выявил три аккаунта GitHub — Legendary99999, DFfe9ewf и Milidmdds — для хранения плагинов Amadey, скриптов и стилеров, включая Lumma, RedLine и Rhadamanthys. Эти аккаунты, теперь заблокированные GitHub, содержали файлы JavaScript, идентичные скриптам Emmenhtal из кампании SmokeLoader, но адаптированные для доставки Amadey, AsyncRAT и даже легитимной копии PuTTY.exe. В репозиториях также обнаружен Python-скрипт, вероятно, эволюция Emmenhtal, с встроенной командой PowerShell для загрузки Amadey с жёстко закодированного IP-адреса.

Исследователи полагают, что эти аккаунты — часть более широкой MaaS-операции, злоупотребляющей платформой Microsoft для вредоносных целей. Это разоблачение совпадает с данными Trellix о отдельной фишинговой кампании, распространяющей загрузчик SquidLoader в атаках на финансовые учреждения Гонконга, с возможными расширениями на Сингапур и Австралию.