攻击链路重构：基于协作工具的多阶段入侵模式浮现

近期监测到一种新型复合型攻击活动，其核心特征是将主流生产力工具中的插件功能转化为恶意载荷分发载体。攻击者精心设计社交工程路径，以加密货币投资为诱饵，诱导目标主动启用被篡改的Obsidian插件，从而触发远程控制链。

伪装投资人诱导启用受控协作环境

攻击者在LinkedIn平台构建虚假身份，以专注于数字资产领域的投资顾问形象接触潜在目标。经过初步互动后，联络渠道转移至Telegram，通过伪造项目文档与资金规划方案，营造出高度可信的商业合作场景。

受害者被引导访问由攻击者托管的云端协作空间，并收到要求安装特定Obsidian插件以实现数据同步的指令。该操作实为激活恶意脚本的关键节点，使攻击流程正式启动。

跨系统隐蔽执行：双平台适配的高级持久化机制

研究人员确认存在一款名为PHANTOMPULSE的高级远控木马，具备针对Windows与macOS的差异化部署策略。在Windows环境下，其采用内存驻留加载技术，结合AES-256加密与反射式注入方式，有效规避静态扫描与行为检测。

对于苹果设备，攻击者使用结构冗余的混淆AppleScript作为投递媒介，降低被识别概率。该木马通过分布式命令架构运行，所有指令均从多个区块链网络的公开交易数据中提取，无需依赖中心化服务器，确保通信链路在封锁下仍可维持。

合法应用滥用凸显生态安全短板

随着加密货币资产价值攀升，相关账户成为高价值攻击目标。此次事件揭示了主流办公工具在插件生态管理上的薄弱环节——攻击者可借由合法授权机制执行未授权代码，绕过传统防护体系。

企业应强化对第三方插件来源的审计机制，禁止未经验证的外部仓库连接。建议实施最小权限原则，在启用任何插件前完成通信路径与代码签名的双重验证。同时提升员工对异常协作请求的识别能力，构建纵深防御体系以应对持续演进的攻击手法。