Фахівці підрозділу дослідження загроз виявили активну кампанію з поширення шкідливого програмного забезпечення, в якій використовуються довірені платформи для розробників GitHub та SourceForge. Зловмисники створюють численні підроблені репозиторії та сторінки проєктів, маскуючи шкідливі файли під інсталятори та плагіни для популярних легітимних програм, таких як ChatGPT, Claude, AutoTune та Kontakt. Головною технічною особливістю цієї атаки є використання альтернативного середовища виконання JavaScript під назвою Deno, що дозволяє зловмисникам створювати утиліти, які успішно обходять традиційні антивірусні системи та механізми статичного аналізу коду, розраховані на виявлення стандартних загроз.

Технічні деталі аналізу бекдору, який отримав назву DinDoor (або Deno RAT), демонструють новий рівень прихованості та маніпуляцій системними процесами. Після запуску шкідливого MSI-файлу на пристрої жертви, програма ініціює завантаження середовища Deno за допомогою штатних менеджерів пакетів Scoop або WinGet. Для реалізації функції трансляції екрана жертви в реальному часі безпосередньо оператору атаки, троян непомітно запускає ізольований фоновий процес веббраузера Microsoft Edge і підключається до нього через протокол Chrome DevTools Protocol. Потім усередину браузера впроваджується спеціальна сторічна з підтримкою технології WebRTC, що перетворює стандартний Edge на прямий піринговий ретранслятор відеопотоку. Екран користувача кодується у форматі H.264, передається у вебсторінку через CDP і надходить на сервер зловмисників через зашифрований DataChannel, забезпечуючи хакерам повний візуальний контроль над системою та можливість викрадення криптогаманців і паролів.