資安研究機構 Cisco Talos 近期發現一種新型惡意程式散佈活動,該攻擊利用 GitHub 公開儲存庫作為基礎設施來傳播各種惡意載荷。
此攻擊行動運用 Amadey 殭屍網路與 Emmenhtal 載入器,向受感染系統部署惡意程式,包括 SmokeLoader、Lumma 及 AsyncRAT 等後門軟體。
Emmenhtal 載入器突破電子郵件限制散播
根據 Cisco Talos 發布的公告,研究團隊於 2025 年 2 月初首次發現 Emmenhtal 載入器,當時它被用於針對烏克蘭組織的釣魚郵件攻擊。這些郵件含有壓縮附件,內含專為部署 SmokeLoader 設計的 JavaScript 檔案。
然而,進一步分析揭露駭客將多個 Emmenhtal 變種直接上傳至公開的 GitHub 儲存庫,完全繞過電子郵件傳播方式。與初期攻擊不同,這些變種先傳遞 Amadey 惡意程式,再從 GitHub 下載第二階段惡意載荷。
Cisco Talos 研究指出,這些濫用 GitHub 的攻擊活動很可能是大規模「惡意程式即服務」(MaaS) 營運的一部分。
攻擊者將 GitHub 當作開放式檔案庫,利用其普遍可存取性來儲存 Amadey 相關的惡意載荷、工具和外掛程式。由於 GitHub 在企業環境中通常被允許訪問,從中下載的惡意檔案更難被安全系統偵測。
研究人員確認此攻擊活動與三個主要 GitHub 帳號有關:
- Legendary99999:擁有超過160個儲存庫,存放各種惡意程式載荷
- DFfe9ewf:疑似用於測試的帳號,包含 Selenium WebDriver 和 DInvoke 等工具包
- Milidmdds:用於託管惡意 JavaScript 腳本及 Emmenhtal 的客製化 Python 變種
這些帳號的檔案結構設計讓攻擊者能透過直接的 GitHub URL 下載檔案,使 Amadey 在成功感染系統後能輕易取得並執行這些惡意檔案。
攻擊活動的技術特徵與關聯
儘管這些攻擊使用不同的散布管道,GitHub 儲存庫中的 Emmenhtal 腳本與先前針對烏克蘭的釣魚攻擊所用腳本在結構上高度相似。所有惡意腳本都採用相同的四層架構:
- 混淆處理的 JavaScript 程式碼
- 基於 ActiveXObject 的 PowerShell 啟動機制
- AES 加密的資料區塊
- 指向特定 IP 位址的 PowerShell 下載器
攻擊者同時部署了偽裝成 MP4 檔案的變種,以及名為「checkbalance.py」的特殊 Python 載入器。這個載入器表面上檢查加密貨幣帳戶餘額,實際卻觸發相同的 PowerShell 惡意指令鏈。
為防禦此類威脅,組織應:實施嚴格的腳本型附件過濾、監控 PowerShell 執行情況,並評估 GitHub 的存取政策。建議採用縱深防禦策略和行為監控機制,以偵測異常下載模式或惡意程式執行行為。
Cisco Talos 已向 GitHub 回報這些可疑帳號, GitHub 也已移除相關內容。
本文轉載自 InfosecurityMagazine。