Nuova minaccia su GitHub: la combo Emmenhtal e Amadey preoccupa gli esperti

Negli ultimi mesi, il panorama della sicurezza informatica  è stato scosso da una nuova e sofisticata minaccia che sfrutta piattaforme digitali considerate fino a ieri affidabili.

Secondo un’approfondita analisi condotta dagli esperti di Cisco Talos, una delle tecniche emergenti più insidiose riguarda l’utilizzo di GitHub come vettore per la diffusione di malware, con diversi casi registrati. Questo fenomeno rappresenta un cambio di paradigma per la difesa delle infrastrutture digitali e impone un immediato ripensamento delle strategie di protezione adottate da aziende e comuni utenti.

Nel dettaglio, la ricerca ha messo in luce come GitHub, una piattaforma ampiamente utilizzata per la collaborazione e la gestione del codice sorgente, sia stata trasformata dai cybercriminali in un canale di distribuzione di malware particolarmente efficace. L’uso di repository pubblici e la reputazione positiva della piattaforma permettono ai malintenzionati di aggirare i sistemi di difesa tradizionali, sfruttando la fiducia che le aziende ripongono in questi strumenti.

Il loader Emmenhtal e il malware Amadey sono una combinazione letale

L’indagine di Cisco Talos ha portato all’individuazione di tre account compromessi che sono stati utilizzati per ospitare e diffondere codice dannoso.

Questi account sono stati rapidamente rimossi da GitHub, ma la rapidità dell’azione non basta a mitigare l’impatto di una campagna malevola che, secondo i ricercatori, è attiva almeno da febbraio. Al centro di questa strategia si trova il loader Emmenhtal (conosciuto anche come PeakLight), uno strumento che permette di caricare e avviare ulteriori componenti malevoli, rendendo l’attacco modulare e particolarmente difficile da intercettare.

Il loader Emmenhtal è stato impiegato principalmente per veicolare Amadey, un malware presente sulla scena dal 2018 e costantemente aggiornato per sfuggire ai sistemi di rilevamento. Amadey si distingue per la sua capacità di raccogliere informazioni dettagliate sui sistemi infettati, analizzando hardware, software e configurazioni di rete.

Sulla base di questi dati, il payload distribuito può essere personalizzato, rendendo ogni attacco unico e ottimizzato per massimizzare l’impatto. Questa flessibilità è una delle caratteristiche che stanno favorendo la diffusione del malware as a service, un modello in cui strumenti malevoli vengono venduti o affittati a gruppi criminali meno esperti, abbassando ulteriormente la soglia di ingresso per chi vuole lanciare attacchi sofisticati. Le conseguenze per le aziende colpite sono particolarmente gravi, con rischi relativi a dati sensibili oltre che reputazionali.