安全研究人员发现，黑客正利用公开的GitHub存储库托管恶意载荷，并通过Amadey恶意软件进行传播。据观察，这一攻击活动发生在2025年4月。

思科Talos威胁情报团队研究人员Chris Neal与Craig Jackson于今日发布的报告称：“这些‘恶意软件即服务（MaaS）’的运营者使用伪造的GitHub账号托管恶意载荷、工具以及Amadey插件，显然是试图绕过网络过滤机制，同时便于部署使用。”

思科指出，攻击链中采用名为“Emmenhtal（又称PEAKLIGHT）”的恶意加载器来投递Amadey，而后者再从这些黑客控制的GitHub公开存储库中下载多个定制化载荷。

此次活动在战术上与2025年2月针对乌克兰实体的钓鱼邮件攻击存在相似之处，后者通过发票支付与账单诱饵传播SmokeLoader，并同样借助Emmenhtal加载器。

Emmenhtal与Amadey均为二级恶意载荷的下载器，可投递信息窃取程序，而Amadey过去还曾被发现用于传播如LockBit 3.0等勒索软件。

两者间的关键区别之一在于：Amadey具备收集系统信息的能力，且支持通过一系列DLL插件拓展功能，如窃取凭证或截取屏幕。

在对2025年4月攻击活动的分析中，思科Talos发现三个GitHub账号（Legendary99999、DFfe9ewf 和 Milidmdds）被用于托管Amadey插件、二级载荷以及其他恶意攻击脚本，涉及Lumma Stealer、RedLine Stealer和Rhadamanthys Stealer等知名窃密工具。这些账号目前已被GitHub平台移除。

部分GitHub存储库中的JavaScript文件与此前SmokeLoader攻击中使用的Emmenhtal脚本完全相同，唯一区别在于其所下载的载荷内容发生了改变。具体而言，存储库中的Emmenhtal加载器文件被用于投递Amadey、AsyncRAT，甚至还有合法的PuTTY.exe程序。

研究人员还在这些存储库中发现一个Python脚本，疑似为Emmenhtal的变种，内嵌的PowerShell命令可从硬编码IP地址下载Amadey，显示出该恶意软件正在持续演进。

研究指出，这些用于部署载荷的GitHub账号，可能是更大规模MaaS运营的一部分，黑客正滥用微软旗下的代码托管平台进行恶意活动。

该披露正值Trellix公司揭露另一场通过恶意加载器SquidLoader发起的钓鱼攻击行动，目标是中国香港的金融服务机构。该安全厂商还发现了更多攻击线索，显示新加坡和澳大利亚也可能正在遭受类似攻击。

“SquidLoader” 攻击链

SquidLoader威胁性极高，其内置多种反分析、反沙箱、反调试技术，使其能够成功规避检测并妨碍安全分析。此外，SquidLoader还能与远程服务器建立通信，传送受感染主机的信息，并注入下一阶段的恶意载荷。

安全研究员Charles Crofford表示：“SquidLoader攻击链最终会部署Cobalt Strike信标，实现远程访问与控制。其复杂的反检测技术与极低的查杀率，对目标组织构成严重威胁。”

这一系列发现还伴随着多个社会工程攻击活动的披露，这些攻击利用多样化手段传播各类恶意软件，包括但不限于：

• 一个被称为UNC5952的金融驱动型攻击组织，利用发票类邮件诱导受害者下载恶意程序，最终部署下载器CHAINVERB，并进一步投递ConnectWise ScreenConnect远程访问软件；• 利用税务相关诱饵误导收件人点击链接，最终下载伪装成PDF文档的ConnectWise ScreenConnect安装程序；• 利用美国社会保障局（SSA）主题窃取用户凭证，或安装被植入木马的ConnectWise ScreenConnect程序，并诱导用户同步微软Phone Link应用，以窃取短信与双因素认证码；• 使用Logokit钓鱼工具包建立伪造登录页面，托管于亚马逊AWS基础设施上，借此绕过检测，同时嵌入Cloudflare Turnstile CAPTCHA，制造安全假象；• 利用自制的Python Flask钓鱼工具包实现低技术门槛的凭证窃取；• 名为Scanception的攻击行动，采用嵌入PDF邮件附件的二维码，引导用户访问伪装成微软登录页的钓鱼页面；• 通过名为ClickFix的手法投递Rhadamanthys Stealer与NetSupport RAT；• 利用“CaaS（Cloaking-as-a-Service）”服务（如Hoax Tech与JS Click Cloaker）隐藏钓鱼网站，仅向目标用户展示真实内容，从而规避安全扫描；• 使用HTML与JavaScript构建具有迷惑性的邮件，能够避开用户警觉与传统检测机制；• 针对B2B服务供应商的攻击，邮件中嵌入SVG格式图像，内含混淆JavaScript代码，在浏览器中打开后通过window.location.href函数跳转至攻击者控制的基础设施。

据Cofense数据统计，2024年使用高级TTP的攻击活动中，有57%采用了二维码手段。其他典型手法包括在邮件中使用加密压缩包以绕过安全邮件网关（SEG）检测。

Cofense研究员Max Gannon指出：“通过加密压缩包的方式，攻击者可阻止SEG及其他安全机制扫描其中内容，从而隐藏本应被识别为恶意的文件。”