加密货币用户警惕Obsidian笔记应用新型诈骗
网络安全公司Elastic Security Labs于周二发布报告,披露一种针对加密货币和金融从业者的新型社会工程学攻击。攻击者利用笔记应用Obsidian的社区插件生态系统,在受害者打开共享云库时秘密执行恶意代码,从而控制其设备。
攻击主要通过LinkedIn和Telegram展开,攻击者伪装为风投机构,以“加密货币流动性解决方案”等商业话题诱导目标,随后引导至Telegram进行深入交流。受害者被要求使用Obsidian访问由攻击者控制的云托管库,并启用社区插件同步功能,从而触发恶意软件执行链。
该恶意软件被Elastic命名为PHANTOMPULSE,是一种此前未被记录的远程访问木马(RAT),具备高度隐蔽性、持久性和全面远程控制能力。其指挥与控制(C2)机制依托至少三个独立区块链网络,通过特定钱包的链上交易数据获取指令,实现去中心化、抗封锁的恶意通信。
由于区块链交易不可篡改且公开可查,该机制确保恶意软件即使在某一链的浏览器被封锁时仍可通过其他链获取指令。Elastic指出,该攻击在Windows和macOS系统上均有效,且攻击者利用Obsidian的合法功能规避传统安全防护。
2025年全球因个人加密货币钱包被攻破导致的损失达7.13亿美元,凸显该领域安全风险。Elastic建议金融机构和加密企业应加强应用级插件管控,防范此类利用合法工具作为攻击载体的新威胁。
编辑点评
此次针对Obsidian应用的PHANTOMPULSE攻击,标志着网络威胁正从传统攻击路径转向对合法生产力工具的深度渗透。攻击者利用区块链的去中心化特性构建C2通信,极大提升了攻击的隐蔽性和抗干扰能力,对现有网络安全防御体系构成重大挑战。随着加密货币市场持续扩张,其高价值与不可逆特性使其成为攻击者的优先目标。此次事件反映出,安全防护不仅需关注边界防御,更应重视内部应用生态的安全治理。未来,企业需重新评估其协作工具与插件生态的安全风险,建立动态审核机制。该事件也凸显全球网络安全格局正向更复杂、更隐蔽的攻击形态演进,对监管机构和企业均提出更高要求。