Disección de un ataque de falsa entrevista con troyano de acceso remoto

Fuentes: Anatomy of a Failed (Nation-State?) Attack

Un desarrollador residente en Canadá relata cómo estuvo a punto de caer en una estafa de entrevista de trabajo falsa que pretendía instalar un troyano de acceso remoto en su equipo. El atacante se hizo pasar por un representante de la sociedad de inversión Lua Ventures, supuestamente con sede en Singapur, y utilizó un repositorio de TypeScript —disfrazado de aplicación de venta de billetes de ferry llamada "Ticket Harbor"— como vehículo de infección. El verdadero_payload se ocultaba en un parche aplicado a TypeScript 5.9.2, que inyectaba código ofuscado capaz de ejecutar un binario WebAssembly y, a continuación, un proceso de Node.js silencioso con un troyano de 1,68 MB bautizado por el autor como PinpinRAT. El malware genera un par de claves RSA-2048 y una clave de sesión AES-256-CBC con integridad HMAC-SHA256, y ofrece al atacante comandos para exfiltrar variables de entorno, subir y descargar archivos, ejecutar procesos, manipular el sistema de ficheros y resolver nombres DNS arbitrarios. También recoge y envía una huella detallada del host, incluyendo direcciones IP, usuario, hostname, sistema operativo y argumentos del proceso. La detección se debió a que el autor usó Claude para revisar el repositorio y detectó un número anormal de archivos de parche antes de ejecutar el código. El incidente fue notificado al Centro Canadiense de Ciberseguridad y el autor advierte de que cualquier persona que haya ejecutado el repositorio debe desconectar el equipo de la red y revisar sus credenciales.