安全研究人员近日发现了一个高度定向的社会工程攻击活动(编号 REF6598),攻击者利用 Obsidian 笔记软件的社区插件机制,传播一种此前未被记录的远程访问木马 PHANTOMPULSE。该攻击主要针对金融和加密货币行业的从业者,同时覆盖 Windows 和 macOS 平台。
攻击流程详解
整个攻击链条经过精心设计,分为多个阶段:
1. 社会工程接触
攻击者冒充风险投资人,在 LinkedIn 等专业社交平台上主动接触目标人物。在建立初步信任后,会将对话引导至 Telegram 私密群组,以”项目合作”或”投资尽调”为由邀请受害者。
2. 恶意 Obsidian Vault 诱导
核心攻击载体是一个经过篡改的共享 Obsidian Vault(知识库)。攻击者会以”共享项目资料””协同编辑文档”等理由,让受害者下载并打开这个恶意 Vault。
3. 插件启用触发感染
当受害者打开共享 Vault 后,Obsidian 会提示需要启用”社区插件同步”功能。这个操作需要用户手动确认——而这正是攻击者利用的关键环节。一旦用户点击允许,隐藏在 Vault 中的恶意插件(伪装成 Shell Commands 和 Hider 插件的篡改版本)就会被激活。
4. 多平台载荷投放
Windows 平台:恶意插件通过 PowerShell 脚本投放名为 PHANTOMPULL 的加载器,该加载器解密并直接在内存中释放 PHANTOMPULSE 木马,绕过文件检测。
macOS 平台:类似流程使用 AppleScript 执行,同样实现无文件落地的内存注入。
PHANTOMPULSE 木马能力
一旦成功运行,PHANTOMPULSE 具备以下能力:
- 键盘记录:捕获所有键盘输入,包括密码和钱包私钥
- 屏幕截图:定时截取屏幕内容
- 文件窃取:搜索并上传指定类型的文件
- 远程命令执行:接受攻击者的任意命令并执行
最值得注意的是其 C2 通信机制:PHANTOMPULSE 使用以太坊区块链来动态解析命令控制服务器地址。木马会查询一个硬编码的以太坊钱包地址,从最新交易数据中提取 C2 服务器的 IP 地址。这种去中心化的通信方式使得传统的域名封禁和 IP 黑名单手段几乎无效。
影响范围与高危人群
根据安全研究人员的分析,该攻击主要针对以下人群:
- 金融行业从业者(投资经理、交易员、分析师)
- 加密货币项目方和交易所工作人员
- Web3 创业者和开发者
- 持有大量加密资产的个人
攻击同时覆盖 Windows 和 macOS,扩大了潜在受害范围。对于金融和加密行业的从业者来说,成功的入侵可能导致敏感企业数据、交易策略、加密钱包密钥和交易所凭证的泄露。
检测与防范建议
检测指标
- 监控 Obsidian 进程是否产生了
powershell.exe、cmd.exe(Windows)或osascript(macOS)子进程 - 检查是否存在
powershell -ExecutionPolicy Bypass相关命令 - 关注异常的以太坊 RPC 请求
防范措施
- 谨慎对待共享 Vault:不要轻易打开来源不明的 Obsidian Vault,特别是通过社交媒体或即时通讯工具收到的
- 审查插件来源:只安装 Obsidian 官方社区市场中的插件,安装前检查插件作者和下载量
- 禁用自动插件同步:在 Obsidian 设置中关闭”自动启用社区插件”选项
- 保持安全软件更新:确保终端安全软件的特征库是最新的
- 对高价值目标实施额外保护:金融和加密行业从业者应使用独立的工作环境,避免在日常设备上处理敏感操作
站长和开发者需要注意什么
虽然此次攻击主要针对金融和加密行业,但攻击手法值得所有使用 Obsidian 的开发者警惕:
- 社区插件是 Obsidian 生态的核心优势,但也是潜在的攻击面
- 任何需要”启用插件”才能正常工作的共享文档都应视为可疑
- 如果你的团队使用 Obsidian 进行知识管理,建议统一审查已安装插件的来源
来源:
暂无评论内容