加密貨幣詐騙警報：駭客利用 Obsidian 插件部署隱匿惡意軟體

TLDR

• 駭客濫用 Obsidian Plugins 在裝置上部署隱蔽惡意軟體
• LinkedIn 上的假冒創投詐騙將受害者推向惡意 Obsidian Plugins
• PHANTOMPULSE 惡意軟體透過 Obsidian Plugins 和雲端保管庫傳播
• 加密貨幣用戶透過 Telegram 成為 Obsidian Plugins 攻擊的目標
• 新型詐騙使用 Obsidian Plugins 繞過安全防護並竊取存取權限

加密貨幣用戶面臨日益嚴重的威脅,攻擊者利用 Obsidian Plugins 透過社交工程手法部署隱蔽惡意軟體。該攻擊活動針對金融專業人士,並透過 LinkedIn 和 Telegram 對話傳播。此外,濫用 Obsidian Plugins 使攻擊者能夠繞過安全工具並執行隱藏程式碼。

社交工程攻擊活動使用 Obsidian Plugins 作為入侵點

攻擊者透過 LinkedIn 發起聯繫,假冒創投公司針對加密貨幣專業人士。他們隨後將對話轉移到 Telegram,由多個假冒合作夥伴營造可信的商業環境。他們說服目標使用 Obsidian Plugins 存取共享儀表板。

攻擊者將 Obsidian 呈現為用於金融協作的合法資料庫工具。他們提供登入憑證以存取由惡意行為者控制的雲端託管保管庫。一旦受害者開啟保管庫,攻擊者就會推送指示以啟用 Obsidian Plugins 同步功能。

此步驟觸發執行鏈,因為木馬化的 Obsidian Plugins 會靜默執行惡意腳本。該攻擊使用內建外掛功能在不觸發警報的情況下執行程式碼。攻擊者利用受信任軟體的行為,而非使用傳統惡意軟體傳遞方法。

PHANTOMPULSE 惡意軟體擴大跨平台威脅

Elastic Security Labs 的安全研究人員發現了一個名為 PHANTOMPULSE 的新型遠端存取木馬。該惡意軟體在 Windows 和 macOS 系統上運作,具有獨立的執行路徑。它使用 Obsidian Plugins 作為初始存取媒介來部署有效負載。

在 Windows 上,該惡意軟體使用加密載入器和記憶體內執行技術來避免偵測。它依賴 AES-256 加密和反射式載入在執行期間保持隱蔽。macOS 系統接收混淆的 AppleScript 投放器,並配備備用命令系統。

PHANTOMPULSE 引入了去中心化命令系統,使用區塊鏈交易進行通訊。它從跨多個網路的錢包連結鏈上資料中檢索指令。因此,該惡意軟體避免了對中央伺服器的依賴,即使在中斷情況下也能維持持久性。

日益增加的加密貨幣威脅凸顯受信任工具的弱點

由於不可逆的區塊鏈交易和高價值錢包,加密貨幣平台仍然是極具吸引力的目標。2025 年,攻擊者從個人錢包中竊取了超過 7.13 億美元,凸顯了日益增長的風險。Obsidian Plugins 為攻擊者提供了繞過標準防禦的新方法。

該攻擊活動展示了合法生產力工具在被濫用時如何成為攻擊媒介。攻擊者利用外掛生態系統執行任意程式碼,而不會觸發傳統安全警報。組織必須監控並限制在關鍵環境中使用第三方外掛。

安全團隊現在建議實施嚴格的外掛政策並限制外部保管庫存取。他們還建議在安裝或啟用 Obsidian Plugins 之前驗證通訊來源。意識和控制仍然是對抗不斷演變的社交工程威脅的關鍵防禦手段。

本文  Crypto Scam Alert: Hackers Exploit Obsidian Plugins to Deploy Stealth Malware 最早出現於 CoinCentral。