一個新發現的惡意軟體即服務 (MaaS) 活動正在利用 GitHub 儲存庫傳播各種資訊來竊取惡意軟體家族。思科 Talos 的網路安全研究人員發現了這項活動，並在今天稍早發布了他們的研究結果，詳細說明了該活動背後的威脅行為者如何使用Amadey 機器人將惡意軟體直接從公共 GitHub 頁面拉取到受感染的系統上。

這項行動於2025年4月浮出水面，但其活動至少可以追溯到2月，大約與烏克蘭一些組織遭受SmokeLoader釣魚郵件攻擊的時間相同。 Talos分析師注意到，該攻擊活動與Amadey發起的新攻擊在策略和基礎設施方面存在明顯的重疊，這表明兩次攻擊背後可能都出自同一夥人之手。根據思科 Talos 的技術部落格文章，一個名為「Legendary99999」的 GitHub 帳戶尤其被頻繁使用。該帳戶託管了超過 160 個儲存庫，每個儲存庫都只包含一個惡意文件，可透過 GitHub URL 直接下載。

Amadey 並非新事物。它於 2018 年首次出現在俄語論壇上，售價約為 500 美元，此後被各種組織用來創建殭屍網路並投放其他惡意軟體。該惡意軟體可以收集系統資訊、下載更多工具，並透過外掛程式擴展其功能。儘管它通常被用作下載程序，但其靈活的設計意味著，根據其配置方式，它可能構成更大的威脅。

GitHub 的用途不僅限於 JavaScript 植入程式。 Talos 還發現了一個名為「checkbalance.py」的 Python 腳本，它偽裝成加密工具。實際上，它解碼並運行了一個 PowerShell 腳本，該腳本從已知的命令和控制位址下載了 Amadey。此外，它還顯示了一條用殘缺的西里爾文編寫的錯誤訊息，暗示了其來源或目標受眾。