# Obsidian 插件被利用部署 PHANTOMPULSE 远控木马

安全研究人员发现，攻击者正在利用 Obsidian 笔记应用的社区插件机制，通过社会工程学手段部署新型远程访问木马（RAT）「PHANTOMPULSE」，主要针对金融和加密货币从业者。

## 攻击链

| 阶段 | 描述 |
|------|------|
| **1. 初始接触** | 攻击者伪装成风险投资人在 LinkedIn 上接触目标，后将对话转移至 Telegram |
| **2. 诱导打开** | 邀请目标通过云托管 Obsidian 共享库进行「协作」 |
| **3. 激活插件** | 诱骗目标启用「已安装的社区插件」同步功能，激活恶意修改版「Shell Commands」和「Hider」插件 |
| **4. 执行载荷** | 恶意脚本在 Windows 上通过 PowerShell、在 macOS 上通过 AppleScript 下载并执行 PHANTOMPULL 加载器 |
| **5. 植入木马** | PHANTOMPULL 解密后将 PHANTOMPULSE RAT 直接注入内存（进程注入，T1055） |
| **6. 建立 C2** | RAT 通过查询以太坊区块链上的特定钱包地址来获取 C2 服务器 IP |

## PHANTOMPULSE RAT 能力

- 键盘记录
- 屏幕截图
- 文件窃取
- 任意命令执行
- 基于区块链的 C2 双向通信

**影响范围**：敏感企业数据、交易策略、加密货币钱包密钥、交易所凭证等均可能被盗。

## 关键 IOCs（入侵指标）

| 类型 | 内容 |
|------|------|
| 进程行为 | 监控 Obsidian.exe 产生 powershell.exe、cmd.exe、bash 等子进程 |
| 命令行特征 | powershell -ExecutionPolicy Bypass |
| 网络行为 | 从非预期进程连接以太坊节点/网关 |
| 文件路径 | 监控 `[Vault]/.obsidian/plugins/` 下的文件变更 |

## 防护建议

1. **审查社区插件**：只从官方市场安装，仔细审查权限
2. **禁用不可信库的插件同步**：不要为不受信任的共享库启用自动插件同步
3. **最小权限原则**：以标准用户权限运行 Obsidian
4. **端点防护**：更新 EDR/AV，检测脚本执行和进程注入
5. **员工教育**：对高风险岗位进行针对 Obsidian 共享库的社会工程学攻击培训

## 背后的技术

PHANTOMPULSE 使用以太坊区块链进行 C2（命令与控制）通信，C2 服务器 IP 嵌入在特定钱包地址的最新交易数据中。这种基于区块链的 C2 机制使得威胁基础设施极难被关闭，体现了攻击者的高技术水平。

---

## 参考链接

- [CyberNetSec.io - Obsidian Plugin Abused to Deploy PHANTOMPULSE RAT](https://cyber.netsecops.io/articles/obsidian-plugin-abused-in-campaign-to-deploy-phantom-pulse-rat/)
- [The Hacker News - Obsidian Plugin Abuse Delivers PHANTOMPULSE RAT](https://thehackernews.com/)（相关报导）