Obsidian笔记应用被利用于加密货币钱包盗窃计划

Obsidian笔记应用被利用于加密货币钱包盗窃计划 - Blockchain.News

安全研究人员发现了一项复杂的攻击活动，该活动将流行的笔记应用Obsidian武器化，针对加密货币和金融专业人士部署恶意软件。该计划利用合法的社区插件执行恶意代码，而不会触发传统的安全防御。

Elastic Security Labs于4月15日发布调查结果，详细说明了攻击者如何在LinkedIn上伪装成风险投资代表，然后将对话转移到Telegram。诱饵是什么？关于加密货币流动性解决方案的讨论，最终诱导受害者安装Obsidian并连接到攻击者控制的云端保险库。

攻击如何运作

攻击链始于受害者在共享保险库上启用社区插件同步——这是Obsidian用户通常会激活的标准功能。一个被木马化的Shell Commands插件会在有人打开保险库的瞬间执行攻击者定义的代码。

"这个保险库是初始访问载体，"Elastic研究人员写道。"一旦在Obsidian中打开，目标会被指示启用社区插件同步。之后，被木马化的插件会静默执行攻击链。"

Windows和macOS系统都存在漏洞。该载荷投递了一个此前未被记录的远程访问木马，Elastic将其命名为PHANTOMPULSE，它授予攻击者完全的设备控制权，包括键盘记录、屏幕截图捕获和权限提升。

PHANTOMPULSE采用了一种不寻常的命令与控制机制，从三个独立区块链网络的链上交易数据中读取指令。由于区块链交易是不可变的且可公开访问，恶意软件始终可以定位其控制者，而无需依赖防御者可能封锁的服务器。

"这种技术为操作者提供了与基础设施无关的轮换能力，"报告指出。三链冗余确保即使一个网络的浏览器不可用，也能继续运行。

根据Chainalysis的数据，仅在2025年，个人钱包被盗就造成了受害者7.13亿美元的损失。与传统银行欺诈不同，区块链交易无法撤销——一旦资金离开被入侵的钱包，就永远无法找回。

Obsidian攻击通过滥用应用程序的预期功能而非利用软件漏洞，完全绕过了传统安全工具。杀毒软件不会将一个合法的生产力应用执行其自身插件系统标记为可疑。

Elastic成功阻止了其观察到的攻击，但警告称像这样具有创意的初始访问载体代表着一种不断演变的威胁。该公司建议加密货币和金融机构强制执行严格的应用级插件策略，并将生产力工具视为潜在的攻击面。

对于个人用户而言，要点很简单：验证任何安装软件或启用插件的请求，尤其是当这些请求来自LinkedIn或Telegram上您从未见过面的人时。那个提供流动性解决方案的"风投合伙人"可能运行的是比典型钓鱼操作复杂得多的东西。

Image source: Shutterstock