В современном киберпространстве борьба между злоумышленниками и специалистами по безопасности постоянно обостряется. Хакеры применяют все более изощренные методы, чтобы обходить системы защиты и успешно внедрять свои вредоносные программы в корпоративные сети и пользовательские устройства. Одним из актуальных направлений в этой области стало использование общедоступных платформ для хостинга вредоносного кода. В частности, злоумышленники активно эксплуатируют ресурсы GitHub — популярного в мире разработчиков сервиса для хранения и совместной работы над программным обеспечением. На основе последних исследований можно выделить кампанию, в рамках которой публикуются вредоносные модули Amadey, распространяемые через специально созданные GitHub-репозитории.
GitHub традиционно считается надежной площадкой для хранения и обмена кодом. Его прозрачная система репозиториев, удобные веб-интерфейсы и широкая аудитория делают сервис крайне привлекательным не только для разработчиков, но и для киберпреступников. Последние регистрируют фальшивые аккаунты и размещают в них вредоносные инструменты, включая загрузчики и плагины для Amadey, что позволяет им обходить фильтры безопасности и усложнять расследования. Как отмечают специалисты Cisco Talos, атаки с применением данного подхода были выявлены в апреле 2025 года, а в ходе анализа обнаружено три основных аккаунта, использовавшихся для этой цели. Amadey – это вредоносное ПО, которое функционирует как загрузчик и фреймворк для доставки различных вредоносных компонентов.
Его особенность в том, что оно не ограничивается только загрузкой стилеров или троянов, а обладает расширяемой архитектурой с использованием DLL-плагинов. Такие плагины могут собирать разнообразную системную информацию, красть учетные данные, делать скриншоты экрана, а в ряде случаев даже запускать более тяжёлые вредоносные программы, например, ransomware семейства LockBit. Таким образом, Amadey является мощным инструментом в арсенале киберпреступников, который позволяет управлять атаками на различных этапах. Ранее в 2025 году наблюдались другие кампании, где загрузчик Emmenhtal (он же PEAKLIGHT) использовался для доставки вредоносных компонентов — в частности, SmokeLoader. В апрельской же кампании он был дополнен новой тактикой, где он загружает модифицированные версии Amadey, AsyncRAT и даже легитимный вредоносный инструмент PuTTY.
exe для обеспечения удаленного доступа. Это позволяет злоумышленникам скрывать свои действия за видом законного ПО и усложнить распознавание вредоносного пакета. Особое внимание вызывает тот факт, что в одной из папок GitHub-репозиториев были найдены Python-скрипты, представляющие собой усовершенствованную версию загрузчика Emmenhtal с встроенными PowerShell-командами. Это свидетельствует о развитии методик и постоянном совершенствовании вредоносных инструментов, что затрудняет работу специалистам по информационной безопасности и вынуждает их искать все новые способы выявления и предотвращения угроз. Использование популярных облачных платформ, таких как GitHub, для размещения вредоносных ресурсов становится эффективным приемом для обхода корпоративных и пользовательских защит.
Публичность и доверие к таким ресурсам заставляют многие системы пропускать трафик без надлежащей фильтрации, что облегчает злоумышленникам проникновение в целевые сети. При этом GitHub оперативно реагирует на выявленные аккаунты с вредоносным содержимым, блокируя их, однако многие из них успевают нанести ущерб в период своей активности. В рамках более широкой картины киберугроз в 2024 и 2025 годах специалисты также отмечают рост атак, использующих сложные социально-инженерные схемы с применением фишинга, в том числе с использованием QR-кодов, запутанных HTML- и JavaScript-конструкций, а также приманок на тему оплаты счетов, налоговых проверок и официальных сообщений от госструктур. Все это позволяет злоумышленникам выманивать у жертв учетные данные, запускать вредоносные загрузчики и распространять трояны и стилеры. Кроме того, широко применяются различные методы скрытия вредоносной активности — антиотладка, антисандбокс-техники и анти-анализ, которые заложены в инструменты вроде SquidLoader и других вредоносов.
Их способности по обходу обнаружения существенно затрудняют оперативное выявление и нейтрализацию угроз. Особую опасность представляют атаки, нацеленные на финансовые организации, где злоумышленники с помощью сложных цепочек вредоносных программ получают удалённый доступ к системам, крадут учетные данные и выводят денежные средства. Также целями становятся бизнес-структуры, где используется техника «cloak-as-a-service» для скрытия своей активности и обхода мер безопасности. В условиях растущей сложности киберугроз организациям необходимо усиливать как технические, так и организационные меры защиты. Внедрение систем многофакторной аутентификации, регулярное обучение сотрудников приемам кибергигиены, использование современных средств мониторинга и анализа сетевого трафика — все это становится критичными элементами борьбы с атаками, подобными тем, что используют Amadey и его инфраструктуру.
Таким образом, наблюдаемая тенденция злоупотребления популярными платформами разработки, как GitHub, свидетельствует о необходимости постоянного совершенствования практик кибербезопасности на всех уровнях. Технологии защиты должны адаптироваться к быстроменяющейся среде угроз, где злоумышленники активно используют доверие и открытость сервисов в своих целях. Только комплексный подход и своевременное реагирование на выявленные инциденты помогут минимизировать риск значительных потерь и обеспечить безопасность информационных ресурсов в условиях современных киберопасностей.
