Obsidian 插件被滥用于部署远程访问木马

Hacker News Top 新闻

摘要

安全研究人员发现了一场针对金融专业人士的社会工程攻击活动,该活动利用 Obsidian 插件部署 PHANTOMPULSE 远程访问木马。该恶意软件利用一种新颖的基于以太坊区块链的机制进行命令与控制通信,以逃避检测。

暂无内容
查看原文
查看缓存全文

缓存时间: 2026/05/11 00:46

# 在社交工程活动中被滥用的 Obsidian 插件用于投递新型 PHANTOMPULSE RAT 来源: https://cyber.netsecops.io/articles/obsidian-plugin-abused-in-campaign-to-deploy-phantom-pulse-rat/ ## 执行摘要 安全研究人员发现了一起高度定向的社交工程活动 \(REF6598\),该活动将 **Obsidian (https://obsidian.md/)** 笔记应用程序武器化,以投递一种此前未记录的远程访问木马(RAT),名为 **PHANTOMPULSE**。该活动针对 Windows 和 macOS 平台上金融和加密货币领域的个人。攻击者利用 LinkedIn 和 Telegram 等平台建立信任,然后将受害者诱骗进入一个恶意的共享 Obsidian 仓库。攻击链依赖于诱骗用户启用社区插件,进而执行代码以部署 RAT。**PHANTOMPULSE** 展示了高级能力,包括利用以太坊区块链动态解析其命令与控制(C2)服务器地址,使其对封禁行动具有极高的韧性。 --- ## 威胁概述 代号为 REF6598 的攻击是一个多阶段的社交工程行动。威胁行动者伪装成风险投资家,在专业社交网站上与目标互动,随后将对话转移到私有的 Telegram 群组中。主要的诱饵是邀请目标通过共享的云托管 **Obsidian (https://obsidian.md/)** 仓库进行协作。 一旦受害者打开共享仓库,感染将通过社交工程触发。受害者会被提示启用“已安装的社区插件”同步功能。这一看似无害的操作需要手动用户批准,是妥协的关键。它启用了共享仓库中存在的合法 **Obsidian (https://obsidian.md/)** 插件的恶意版本('Shell Commands' 和 'Hider')。 ## 技术分析 攻击链在 Windows 和 macOS 之间略有不同,但遵循相同的一般原则: 1. **初始访问(`T1566.002` (https://attack.mitre.org/techniques/T1566/002/)):**攻击者利用 LinkedIn/Telegram 上的社交工程手段,说服目标打开恶意的共享 **Obsidian (https://obsidian.md/)** 仓库。 2. **执行(`T1204.002` (https://attack.mitre.org/techniques/T1204/002/)):**用户被操纵在 Obsidian 内启用社区插件。此操作通过被入侵的 'Shell Commands' 插件执行恶意脚本。 3. **准备阶段:**在 Windows 上,执行 PowerShell 脚本。该脚本会释放一个名为 **PHANTOMPULL** 的加载程序。在 macOS 上,使用 AppleScript 发生类似的过程。 4. **有效载荷投递:** **PHANTOMPULL** 加载程序解密并直接在内存中启动最终有效载荷,即 **PHANTOMPULSE** RAT,以逃避基于文件的检测(`T1055` (https://attack.mitre.org/techniques/T1055/))。 5. **命令与控制(`T1102.002` (https://attack.mitre.org/techniques/T1102/002/)):** **PHANTOMPULSE** 使用一种新颖的 C2 机制。它查询以太坊区块链,获取硬编码钱包地址的最新交易。C2 服务器的 IP 地址嵌入在此交易数据中,为恶意软件接收指令提供了一种去中心化且抗审查的方式。 一旦激活,**PHANTOMPULSE** 可以捕获按键、截取屏幕、外传文件并执行任意命令。 ## 影响评估 成功的妥协将使攻击者完全访问受害者的机器。对于金融和加密货币领域的专业人士来说,这可能导致敏感企业数据、知识产权、交易策略以及最关键的是加密货币钱包密钥和交易所凭证被盗。攻击的跨平台性质扩大了其潜在受害者范围。基于区块链的 C2 使用显示了高度的复杂性,使得威胁基础设施难以破坏。 ## 用于检测的网络可观察指标 | 描述 | 值/类型 | | :--- | :--- | | 监控 Obsidian 是否生成如 `powershell.exe`、`cmd.exe` 或 `osascript` 之类的子进程。 | `powershell -ExecutionPolicy Bypass` | | 可疑的 PowerShell 执行,特别是当由 Obsidian 等非标准应用程序启动时。 | 类型: `network_traffic_pattern` <br> 值: 来自意外进程到以太坊区块链节点或网关的出站连接。 | | 可能表明 PHANTOMPULSE 正在尝试解析其 C2 地址。 | 描述: 监控 Obsidian 插件目录内文件的创建或修改,特别是来自官方插件市场之外的文件。 <br> 值: `[Vault]/.obsidian/plugins/` | ## 检测与响应 1. **进程监控(D3-PA:进程分析):**实施 EDR 规则,以检测并告警当 **Obsidian (https://obsidian.md/)** 进程生成命令行解释器(`powershell.exe`、`cmd.exe`、`bash`、`osascript`)的情况。这是高度异常的行为。 2. **用户培训:**教育用户,特别是高风险行业的用户,了解社交工程的危险以及滥用协作工具功能(如共享仓库和插件)的具体战术。 3. **应用程序控制(D3-EAL:可执行文件白名单):**在可能的情况下,使用应用程序控制策略来限制在 Obsidian 等应用程序中安装和执行未经批准的社区插件。 4. **网络监控(D3-NTA:网络流量分析):**监控来自端点的异常 DNS 查询或与区块链服务相关的直接 IP 连接,在这些端点上此类活动并不预期发生。 ## 缓解措施 1. **审查社区插件:**在任何应用程序中启用第三方或社区开发的插件时要格外谨慎。仅从官方、受信任的市场安装插件并审查其权限。 2. **禁用不受信任仓库的自动同步:**从未知或不受信任的来源连接 **Obsidian (https://obsidian.md/)** 仓库时,不要启用插件同步。 3. **最小权限原则:**以标准用户而非管理员权限运行 **Obsidian (https://obsidian.md/)** 等应用程序,以限制妥协的潜在影响。 4. **端点安全:**确保部署最新的 EDR 和防病毒解决方案,以检测并阻止可疑的脚本执行和进程注入技术。

相似文章

Obsidian 插件的未来

Hacker News Top

Obsidian 推出了新的社区网站和开发者控制面板,以改进插件的发现和管理工作。此次更新为所有插件版本引入了自动化安全审查,以应对日益增长的提交量。

AI工作空间劫持:Jscrambler NPM攻击剖析

Reddit r/artificial

攻击者劫持了Jscrambler的NPM凭证,发布了恶意版本,利用一个未记录的基于Rust的信息窃取器,从Cursor和Claude Desktop等AI工具中窃取API密钥和开发者历史记录。

数周内第二次,微软软件包被植入凭据窃取器

Ars Technica

数周内第二次,微软已验证的开源软件包被植入了凭据窃取恶意软件,影响GitHub上的73个软件包。该攻击与威胁行为者TeamPCP有关,利用被盗的OIDC令牌,并通过云基础设施横向传播。