Nueva campaña de malware utiliza repositorios de GitHub

Descripción

 

Se ha detectado una nueva campaña de malware donde actores maliciosos están utilizando repositorios públicos de GitHub como infraestructura para distribuir malware, aprovechando la confianza que generan estas plataformas legítimas. La campaña se centra en la propagación del loader Emmental, el cual posteriormente, descarga troyanos como Amadey y herramientas de acceso remoto (RATs).

 

Detalle técnico

 

Se ha descubierto una campaña maliciosa en la que actores de amenazas están utilizando repositorios públicos de GitHub para alojar y distribuir el loader conocido como Emmental (también identificado como PEAKLIGHT). Esta herramienta se encarga de descargar y ejecutar malware como Amadey, un troyano enfocado principalmente en el robo de información y en servir como dropper (loader) para otras amenazas. Los actores crearon múltiples cuentas falsas en GitHub incluyendo nombres como Legendary99999, DFfe9ewf, Milidmdds y bruhbruh9999 y subieron binarios maliciosos bajo apariencia legítima. Estos archivos fueron presentados como plugins o herramientas útiles, pero en realidad contenían cargas secundarias como stealers de información y RATs como AsyncRAT. Aunque los repositorios han sido eliminados por GitHub, la técnica muestra cómo los atacantes aprovechan plataformas legítimas para evitar la detección por soluciones de seguridad tradicionales.

 

El loader Emmental no solo descarga directamente Amadey desde GitHub, sino que también emplea archivos PowerShell y versiones maliciosas de aplicaciones populares como PuTTY para ejecutar los payloads. En algunos casos, los scripts de PowerShell descargan contenido malicioso desde direcciones IP codificadas, lo que permite mantener el control sobre el flujo de la infección. Además, se observó una variante escrita en Python del loader Emmental que incluía lógica similar para la descarga y ejecución de malware. Estos loaders no solo entregaban Amadey, sino también módulos adicionales diseñados para capturar pantallas, recolectar credenciales de navegadores y robar datos de Telegram o de aplicaciones VPN.

 

Recomendaciones

 

Protección

 

• Utilizar herramientas de análisis (Antivirus, EDR…) que detecten comportamiento sospechoso.
• Contar con un inventariado actualizado de  todos los activos.
• Realizar campañas de concienciación sobre el correcto uso de la información a los empleados.
• Limitar el uso de unidades de almacenamiento externas.
• Utilizar sistemas DLP (Data Loss Prevention) para prevenir la fuga de información.
• Restringir el uso de extensiones en los navegadores, ya que pueden ser empleadas por atacantes para la exfiltración de información

 

Detección

 

• Analizar archivos temporales y carpetas de sistema (%System32%) en búsqueda de ficheros maliciosos.
• Analizar procesos y servicios activos en búsqueda de comportamiento inusual.
• Analizar el tráfico de red de la máquina para buscar comunicaciones sospechosas(Sesiones activas, conexiones NetBios …).
• Examinar tareas programas de los sistemas.

 

Mitigación

 

• Proceder a aislar los equipos de comprometidos para evitar la propagación del malware en la red.

 

Referencias

 

https://thehackernews.com/2025/07/hackers-use-github-repositories-to-host.html