Скачал PuTTY? Поздравляем, у вас троян

GitHub Amadey Emmenhtal PEAKLIGHT Cisco Talos Trellix Cofense
Скачал PuTTY? Поздравляем, у вас троян
GitHub Amadey Emmenhtal PEAKLIGHT Cisco Talos Trellix Cofense

Трояны заражает тысячи устройств через репозитории, которым доверяют программисты.

image

В апреле 2025 года специалисты Cisco Talos зафиксировали новую киберугрозу: злоумышленники используют публичные репозитории на GitHub в качестве платформы для размещения вредоносных программ, задействованных в распространении трояна Amadey . По мнению исследователей, создание поддельных аккаунтов на GitHub позволило атакующим не только обойти веб-фильтры, но и упростить логистику вредоносной кампании.

В центре этой схемы находится загрузчик Emmenhtal (известный также как PEAKLIGHT ), через который Amadey попадает на устройства жертв. После установки он загружает разнообразные вредоносные модули прямо с GitHub, включая плагины для Amadey, расширяющие его функциональность. Ранее Emmenhtal использовался в похожей фишинговой кампании в феврале 2025 года, в ходе которой через поддельные счета и платёжные уведомления распространялся SmokeLoader.

Emmenhtal и Amadey действуют как загрузчики для последующих вредоносных программ, в том числе инфостилеров и программ-вымогателей. Однако, в отличие от Emmenhtal, Amadey обладает встроенной возможностью сбора информации о системе и может расширяться за счёт плагинов в виде библиотек DLL, предоставляющих доступ к таким функциям, как кража учётных данных и создание скриншотов.

В хакерской операции были задействованы три аккаунта на GitHub — Legendary99999, DFfe9ewf и Milidmdds. Именно через них распространялись инструменты атаки, плагины Amadey и дополнительные вредоносные модули, включая Lumma Stealer, RedLine Stealer и Rhadamanthys Stealer. Все упомянутые аккаунты уже удалены администрацией GitHub.

Часть вредоносных скриптов на JavaScript из этих репозиториев полностью совпадает с теми, что применялись в более ранней кампании со SmokeLoader. Ключевое различие — в загружаемых вредоносных компонентах: теперь вместо SmokeLoader используется Amadey, а также AsyncRAT и даже легитимная версия PuTTY.exe, что усложняет выявление угрозы.

Кроме того, в одном из репозиториев обнаружен Python-скрипт, представляющий собой усовершенствованную версию Emmenhtal. Он содержит встроенную PowerShell-команду, с помощью которой Amadey скачивается с заранее указанного IP-адреса. Это подтверждает наличие масштабной преступной MaaS -схемы, в рамках которой GitHub используется как средство доставки вредоносного ПО.

Одновременно с этим компания Trellix представила отчёт о другой фишинговой кампании, направленной на финансовые организации Гонконга. В её центре находится загрузчик SquidLoader, сочетающий в себе обилие техник противодействия анализу, отладки и эмуляции, что делает его особенно труднообнаружимым. После успешного заражения он устанавливает модуль Cobalt Strike для удалённого доступа и управления системой.

В параллельных кампаниях по всему миру наблюдаются всё более изощрённые методы социальной инженерии, направленные на распространение вредоносных программ. Среди них — использование тем с налогами, электронными квитанциями, письмами от имени госорганов, в том числе подделок под службы США. В ход идут даже QR-коды в PDF-файлах, ссылающиеся на фальшивые страницы входа, и фишинговые наборы, маскирующиеся под службы Amazon Web Services и защищённые капчей Cloudflare.

Отдельного внимания заслуживает рост популярности приёмов обхода систем безопасности, таких как архивы с паролями, SVG-файлы с внедрённым JavaScript и целые сервисы по «маскировке» вредоносных сайтов под безопасные — CaaS (cloaking-as-a-service).

По данным Cofense, почти 60% наиболее технически сложных атак в 2024 году использовали QR-коды, а защищённые архивы остаются ключевым способом обойти фильтры электронной почты, делая атаки всё более сложными для обнаружения.