Anatomía de un Ataque Fallido (Nación-Estado)?

Un desarrollador recibió un correo electrónico de una persona que se hacía pasar por un representante de una empresa de venture capital, Lua Ventures, con el fin de realizar una entrevista para un puesto de asesor. La entrevista se llevó a cabo sin incidentes, pero posteriormente se envió un correo electrónico con un enlace a un repositorio de GitHub que contenía un payload malicioso.

El payload estaba oculto en un archivo de parche para TypeScript, llamado typescript+5.9.2.patch, y contenía un código de ejecución oculto que se activaba cada vez que se ejecutaba el comando tsc o cualquier otro comando que importara typescript.js. El código estaba cifrado en base64 y se descifrababa con una clave XOR de 73.

“El payload se ha denominado PinpinRAT y no se ha encontrado ninguna otra referencia a él en línea”

El desarrollador descubrió el payload malicioso después de analizar el repositorio con la ayuda de una herramienta llamada Claude, que identificó algunas anomalías en el código. El payload se ha denominado PinpinRAT y no se ha encontrado ninguna otra referencia a él en línea.

El ataque se llevó a cabo mediante una técnica de phishing, en la que el atacante se hacía pasar por una persona legítima para ganar la confianza del desarrollador y hacer que descargara el payload malicioso. El atacante también creó una perfil de LinkedIn falso para apoyar su identidad ficticia. El desarrollador informó el incidente a las autoridades canadienses y advirtió a otros desarrolladores en la comunidad de Rust que podrían haber sido objetivo de ataques similares.