一名开发者收到伪装成投资机构的招聘邀请,却在AI辅助下识破了一场精心策划的供应链攻击。攻击者通过修改过的TypeScript包向开发者机器植入远程访问木马(RAT),整个过程极具欺骗性。
攻击者冒用虚假身份发送邮件,声称来自一家新加坡DeFi风投机构。在经过一次电话面试后,攻击者向受害者发送了一个名为"Ticket Harbor"的船票预订应用代码库作为"测试任务"。代码库表面上看起来很正常,但其中包含多个patch文件用于劫持npm的生命周期脚本。
最关键的恶意代码隐藏在typescript+5.9.2.patch文件中。该补丁在tsc编译器启动时自动执行,通过Base64编码和XOR加密(密钥73)注入了一个自解密代码执行框架。当开发者运行npm install或typecheck命令时,恶意代码会从名为operators/3.png的图片文件中提取载荷,生成一个1.68MB的混淆第二阶段payload,最终植入名为PinpinRAT的远程访问木马。
该攻击链具备三层自我保护机制:patch文件通过git update-index --skip-worktree隐藏,dropper运行后会重写自身代码,临时目录也会自动删除,增加了分析难度。
编注:信源为技术博客完整披露,材料涵盖攻击全链条与技术细节,包括IoC信息。VirusTotal未检测到该payload;作者已向加拿大CCCS等机构报告;Rust社区也有人中招。