GitHub, la popular plataforma de alojamiento de código, se ha convertido en un campo de batalla para la ciberseguridad. Operadores maliciosos están aprovechando su utilidad y necesidad en entornos corporativos para distribuir malware mediante repositorios públicos y archivos camuflados bajo nombres inofensivos. Según un informe de Cisco Talos, esta operación evidencia el problema que representa GitHub para la seguridad digital. Activa desde febrero de 2025, la campaña se basa en el modelo de malware-as-a-service (MaaS), en el que los atacantes venden herramientas de ataque en GitHub como si fueran servicios en la nube.
Los investigadores identificaron una metodología sofisticada para camuflar el código malicioso, utilizando Emmenhtal, un loader diseñado para esconder su naturaleza dañina tras varias capas. Una vez superada la seguridad, ejecuta un script en PowerShell que descarga la carga útil real, Amadey, un botnet conocido desde 2018, operando desde repositorios públicos de GitHub. Este malware tiene como función recopilar información del sistema infectado y descargar archivos adicionales según el perfil del equipo.
Entre las cuentas más notorias utilizadas para esta distribución de malware se encuentra Legendary99999, la cual alojaba más de 160 repositorios con archivos maliciosos. Otros usuarios como Milidmdds o DFfe9ewf siguieron patrones similares, mostrando la adaptabilidad y sofisticación de los ciberdelincuentes en utilizar GitHub para sus fines malévolos. Además de Amadey, se detectaron múltiples muestras de malware y herramientas legítimas disfrazadas de archivos inofensivos, demostrando la amplia gama de tácticas empleadas.
GitHub respondió rápidamente a los hallazgos de Talos eliminando las cuentas implicadas. Sin embargo, el incidente resalta un problema mayor: el uso de servicios legítimos y necesarios para encubrir actividades maliciosas. Esto subraya la importancia de medidas de seguridad más estrictas y una vigilancia constante para protegerse contra tales amenazas.