复杂的网络钓鱼计划利用广泛使用的数字笔记平台来欺骗加密货币爱好者

加密货币用户已被警告注意一种新的社会工程骗局，该骗局会诱骗受害者使用笔记应用程序 Obsidian 上的社区插件，在不知不觉中运行可以控制其设备的恶意软件。

Elastic Security Labs 在周二的一份报告中表示，它发现了一项针对加密货币和金融领域人士的新颖活动，利用“LinkedIn 和 Telegram 上精心设计的社会工程”来欺骗受害者，让其允许恶意但看似安全的软件在其设备上运行。

攻击者滥用 Obsidian 上的社区插件生态系统，“在受害者打开共享云保管库时静默执行代码”，攻击可在 Windows 和 macOS 设备上进行。

这是针对加密用户的最新已知攻击活动，加密用户是诈骗者的热门目标，因为区块链交易无法逆转。据 Chainaanalysis 称，2025 年，通过个人加密钱包的泄露，有 7.13 亿美元被盗。

Elastic 表示，诈骗者以风险投资公司的名义在 LinkedIn 上联系受害者，并最终将对话引导到 Telegram，围绕“金融服务，特别是加密货币流动性解决方案，创造一个看似合理的商业环境”进行讨论。

攻击者要求他们的目标使用 Obsidian，将其框架为他们的假公司数据库，用于访问共享仪表板，并且潜在受害者获得登录名以连接到攻击者控制的云托管保管库。

“这个金库是最初的访问向量，”Elastic 说。 “一旦在 Obsidian 中打开，目标就会被指示启用社区插件同步。之后，木马插件会默默地执行攻击链。”

来源：Elastic 安全实验室

这些攻击在 Windows 和 macOS 上略有不同，但都部署了以前未记录的远程访问木马（RAT），Elastic 将其称为“PHANTOMPULSE”。

该恶意软件伪装成合法软件，使攻击者能够控制受害者的设备，Elastic 补充道，该恶意软件“专为隐秘性、弹性和全面的远程访问而设计”。

Elastic 表示，PHANTOMPULSE 通过至少三个不同的区块链网络使用去中心化的命令和控制机制，使用与特定钱包绑定的链上交易数据连接到攻击者并接收指令。

相关：美国财政部将网络安全威胁情报扩展到加密行业

“这项技术为操作员提供了与基础设施无关的轮换能力，”Elastic 说。 “由于区块链交易是不可变的且可公开访问，因此恶意软件始终可以找到其 C2 [命令和控制机制]，而无需依赖集中式基础设施。”

“使用三个独立链会增加冗余：即使一个链的浏览器被阻止或不可用，其余两个链也会提供替代解决路径，”它补充道。

Elastic 表示，它能够阻止攻击，但它表明攻击者“继续寻找创造性的初始访问向量”，因为滥用 Obsidian 的社区运行的插件生态系统使他们能够完全绕过“传统的安全控制，依靠应用程序的预期功能来执行任意代码”。

它补充说，金融和加密公司“应该意识到合法的生产力工具可能会变成攻击媒介”，组织应该执行应用程序级插件策略以防御类似的攻击。

杂志：比特币可能需要 7 年才能升级到后量子 — BIP-360 合著者