佳佳币资讯站近期,加密用户收到了一则警告,指出一种新型的社交工程骗局正在迅速传播。这种骗局诱导用户在笔记应用Obsidian中安装社区插件,结果在用户不知情的情况下运行了能够控制其设备的恶意软件。
攻击手法解析
在周二发布的报告中,Elastic安全实验室揭示了针对加密和金融领域从业者的新型攻击活动。攻击者通过在LinkedIn和Telegram上实施精密的社交工程手段,诱使受害者运行看似无害实则有害的软件。
插件生态遭滥用
攻击者利用Obsidian的社区插件生态系统,在用户打开共享云保险库时,静默执行代码。这种攻击可以针对Windows和macOS设备。鉴于区块链交易不可逆的特性,加密用户成为了诈骗者的目标。此次攻击是针对该群体最近的一次攻击活动。据Chainalysis数据,2025年个人加密钱包因入侵而造成的损失高达7.13亿美元。
社交工程细节
Elastic透露,诈骗者冒充风险投资公司在LinkedIn上接触受害者,并最终将对话转移到Telegram,讨论“金融服务,尤其是加密货币流动性解决方案”。攻击者要求目标使用Obsidian,并伪装成其虚假公司,声称需要访问共享仪表盘的数据库。受害者会被提供登录凭证,连接到攻击者控制的云托管保险库。
“这个保险库是攻击的起点,”Elastic表示,“一旦在Obsidian中打开,目标会被要求启用社区插件同步功能。随后,被植入了木马的插件将静默执行攻击链。” 
跨平台攻击特性
攻击在Windows和macOS系统上略有不同,但都部署了一个此前未公开记录的远程访问木马(RAT),Elastic将其命名为“PHANTOMPULSE”。该恶意软件伪装成合法软件,使攻击者能够控制受害者的设备。Elastic补充称,PHANTOMPULSE的设计注重隐蔽性、持久性和全面的远程访问能力。
去中心化控制机制
Elastic指出,PHANTOMPULSE通过至少三个不同的区块链网络使用去中心化命令控制机制,利用与特定钱包绑定的链上交易数据连接攻击者并接收指令。
“这项技术为操作者提供了与基础设施无关的轮换能力,”Elastic解释说,“由于区块链交易不可篡改且公开可访问,恶意软件总能定位其C2(命令控制机制),无需依赖中心化基础设施。”报告进一步强调:“使用三条独立链增加了冗余性:即使其中一条链的浏览器被屏蔽或不可用,其余两条仍能提供备选解析路径。”
安全启示
Elastic表示已成功拦截该攻击,但这表明攻击者“持续寻找创造性的初始攻击入口”。利用Obsidian社区运营的插件生态系统使得攻击者能够绕过“传统安全控制措施,利用应用程序的预期功能执行任意代码”。
报告建议金融和加密公司“应意识到合法生产力工具可能转变为攻击载体”,相关机构应实施应用级插件策略以防御类似攻击。