Obsidian 插件遭利用传播 PHANTOMPULSE 远程木马：使用笔记工具的站长请注意

昨天发布

0246

最近，网络安全研究人员发现了一起利用 Obsidian 笔记插件进行社会工程攻击的恶意活动，攻击者通过伪装成合法插件的手段，向目标用户传播名为 PHANTOMPULSE 的新型远程访问木马（RAT）。这一事件再次给使用笔记工具和插件生态的用户敲响了安全警钟。

事件概述

据 CyberNetSec 等安全媒体报道，攻击者通过在社区渠道中分发看似正规的 Obsidian 插件安装包，诱导用户安装带有后门的恶意插件。一旦安装成功，PHANTOMPULSE RAT 会在后台静默运行，实现对受害者设备的远程控制。

Obsidian 作为一款广受欢迎的 Markdown 笔记工具，拥有活跃的社区插件生态。用户通常通过社区插件市场安装第三方扩展，而这些插件的安全审查机制相对宽松，给了攻击者可乘之机。

PHANTOMPULSE RAT 的工作原理

PHANTOMPULSE 是一种新型的远程访问木马，主要通过以下方式运作：

伪装分发：攻击者将恶意代码注入到看似正常的 Obsidian 插件中，通过论坛、社交媒体、即时通讯群组等渠道传播
社会工程：利用”效率工具””笔记增强””AI 辅助”等热门概念吸引用户安装
持久化驻留：安装后在系统中创建持久化机制，即使重启也能自动恢复运行
远程控制：连接 C2 服务器后，攻击者可以执行命令、窃取文件、截屏、记录键盘输入等

影响范围

此次攻击主要针对以下群体：

使用 Obsidian 进行知识管理和笔记的个人用户
在企业环境中使用 Obsidian 的开发者和技术人员
习惯从非官方渠道安装插件的高级用户

安全研究人员指出，由于 Obsidian 笔记中往往存储了大量个人敏感信息、API 密钥、项目配置等内容，一旦被 RAT 控制，损失可能远超一般的恶意软件感染。

如何判断自己是否受影响

如果你近期安装过来源不明的 Obsidian 插件，建议立即检查：

打开 Obsidian 的社区插件设置，查看已安装插件列表
对比官方插件市场的发布者信息，确认插件来源可信
检查系统任务管理器或活动监视器中是否有可疑进程
使用杀毒软件进行全盘扫描
检查网络连接中是否有异常的外部连接

防范建议

针对此次事件，站长和开发者应该注意以下几点：

插件安装安全

只从 Obsidian 官方插件市场安装插件，避免使用第三方分发渠道
安装前查看插件的下载量、评价和开发者信誉
关注插件的更新频率和代码仓库活跃度
对新发布的插件保持警惕，等待社区验证后再安装

系统安全

保持操作系统和安全软件更新
使用防火墙监控异常网络连接
定期备份重要笔记数据
对存储在笔记中的敏感信息（密码、密钥等）使用专门的密码管理器

企业环境

通过 MDM 或组策略限制员工安装未审核的插件
建立插件白名单机制
定期审计终端设备上的软件安装情况

简评

这次事件再次说明，即使是看似”安全”的生产力工具，其插件生态也可能成为攻击入口。近年来类似的供应链攻击屡见不鲜，从前端 npm 包到 Obsidian 插件，攻击面在不断扩大。对于站长和开发者来说，”不信任任何未经验证的第三方代码”应该成为基本安全意识。

如果你正在使用 Obsidian，建议花几分钟检查一下自己的插件列表，确保每个插件都来自可信来源。

来源：Obsidian Plugin Abused in Social Engineering Campaign to Deliver New PHANTOMPULSE RAT – CyberNetSec

文章版权声明 1、本网站名称：枫选
2、本站永久网址：https://feng.cx
3、本网站的文章部分内容可能来源于网络，仅供大家学习与参考，如有侵权，请联系站长进行删除处理。
4、本站一切资源不代表本站立场，并不代表本站赞同其观点和对其真实性负责。
5、本站一律禁止以任何方式发布或转载任何违法的相关信息，访客发现请向站长举报
6、本站资源大多存储在云盘，如发现链接失效，请联系我们我们会第一时间更新。

THE END