Anatomy of a Failed (Nation-State?) Attack
16 days ago
- #social-engineering
- #cybersecurity
- #malware-analysis
- 作者描述了一种针对性的虚假面试骗局,试图通过一个名为'Ticket Harbor'的TypeScript仓库在他们的计算机上植入后门。
- 该攻击使用了一个恶意补丁文件(typescript+5.9.2.patch),其中包含一个base64编码的数据块,可在运行类型检查或构建命令时向系统注入一个远程访问木马(PinpinRAT)。
- 恶意软件采用多层混淆技术,包括XOR解密和WASM存根,以规避检测,并执行一个具有文件外泄和任意命令执行等功能的远程访问木马。
- 入侵迹象包括C2服务器地址89.124.107.161:80、特定进程伪装以及诸如NODT_PAYLOAD_PATH等环境变量。
- 攻击者使用了一个伪造的身份,带有虚假的LinkedIn资料和已停业的公司(Lua Ventures)来显得可信,但可疑迹象包括LLM生成的文本、缺少日历邀请函以及可疑的域名选择。