Obsidian eklentilerini kötüye kullanan sosyal mühendislik kampanyasıyla yeni bir Truva atı dağıtılıyor

 (cyber.netsecops.io)
3 puan yazan GN⁺ 2026-05-11 | 1 yorum | WhatsApp'ta paylaş
  • Finans ve kripto para sektöründe çalışanları hedef alan, Obsidian not uygulamasının paylaşılan vault özelliğini silah haline getirip daha önce belgelenmemiş yeni bir uzaktan erişim Truva atı (RAT) dağıtan son derece hedefli bir kampanya tespit edildi
  • Saldırganlar LinkedIn ve Telegram'da girişim sermayedarı kılığına girerek güven oluşturduktan sonra kurbanları kötü amaçlı bir Obsidian paylaşılan vault'una çekiyor
  • Kurban topluluk eklentisi senkronizasyonunu manuel olarak onayladığında kötü amaçlı kod çalışıyor; Windows'ta PowerShell, macOS'ta ise AppleScript üzerinden PHANTOMPULL yükleyicisi bırakılıyor
  • PHANTOMPULSE RAT, C2 sunucu adresini Ethereum blok zinciri işlem verilerinden dinamik olarak çıkararak geleneksel devre dışı bırakma yöntemlerine karşı yüksek direnç kazanıyor
  • Hem Windows hem de macOS'u destekleyen çapraz platform bir saldırı olarak tuş vuruşu yakalama, ekran görüntüsü alma, dosya sızdırma ve rastgele komut çalıştırma dahil kapsamlı uzaktan kontrol sağlanabiliyor

Tehdit özeti

  • REF6598 olarak adlandırılan bu saldırı çok aşamalı bir sosyal mühendislik kampanyası
  • Tehdit aktörü profesyonel ağ kurma sitelerinde girişim sermayedarı gibi davranarak hedeflere yaklaşıyor, ardından konuşmayı özel bir Telegram grubuna taşıyor
  • Ana yem, bulutta barındırılan bir Obsidian paylaşılan vault üzerinden iş birliği daveti
  • Kurban paylaşılan vault'u açtığında, "Installed community plugins" senkronizasyon özelliğini etkinleştirmesi için yönlendiriliyor
    • Bu onay manuel olarak verilmek zorunda ve bulaşmanın temel tetikleyicisi bu
    • Etkinleştirildiğinde paylaşılan vault içinde bulunan meşru eklentilerin kötü amaçlı olarak değiştirilmiş sürümleri ('Shell Commands', 'Hider') çalıştırılıyor

Teknik analiz

  • Saldırı zinciri Windows ve macOS'ta biraz farklı olsa da aynı prensibi izliyor
  • İlk erişim (T1566.002): LinkedIn/Telegram'daki sosyal mühendislik yoluyla kurbanın kötü amaçlı Obsidian paylaşılan vault'unu açması sağlanıyor
  • Çalıştırma (T1204.002): Kullanıcı Obsidian içinde topluluk eklentilerini etkinleştirmesi için manipüle ediliyor ve değiştirilmiş 'Shell Commands' eklentisi üzerinden kötü amaçlı betikler çalıştırılıyor
  • Hazırlık aşaması: Windows'ta PowerShell betiği çalıştırılarak PHANTOMPULL adlı bir yükleyici bırakılıyor; macOS'ta ise AppleScript üzerinden benzer bir süreç işliyor
  • Yük teslimi: PHANTOMPULL yükleyicisi son yük olan PHANTOMPULSE RAT'i doğrudan belleğe yüklüyor ve böylece dosya tabanlı tespitten kaçıyor (T1055 process injection)
  • C2 iletişimi (T1102.002): PHANTOMPULSE, sabit kodlanmış bir cüzdan adresinin en son işlemlerini Ethereum blok zincirinden sorgulayarak C2 sunucusunun IP adresini çıkarıyor
    • IP adresi işlem verisine gömülü olduğundan merkeziyetsiz ve sansüre dayanıklı bir C2 iletişimi kuruluyor
  • Etkinleştirilen PHANTOMPULSE, tuş vuruşu yakalama, ekran görüntüsü alma, dosya sızdırma ve rastgele komut çalıştırma yeteneğine sahip

Etki değerlendirmesi

  • Başarılı bir ihlal durumunda saldırgan kurban sisteminde tam erişim yetkisi elde ediyor
  • Finans ve kripto para sektöründe çalışanlar için hassas kurumsal veriler, fikri mülkiyet, işlem stratejileri, kripto para cüzdan anahtarları ve borsa kimlik doğrulama bilgilerinin çalınma riski var
  • Çapraz platform yapısı nedeniyle potansiyel etki alanı büyüyor
  • Blok zinciri tabanlı C2, yüksek düzeyde sofistike bir yaklaşım sergiliyor ve tehdit altyapısını engellemeyi son derece zorlaştırıyor

Tespit için siber gözlem göstergeleri

  • Süreç izleme: Obsidian.exe uygulamasının powershell.exe, cmd.exe, osascript gibi alt süreçler oluşturup oluşturmadığını izleyin
  • Komut satırı deseni: powershell -ExecutionPolicy Bypass — Obsidian gibi standart dışı bir uygulamadan başlatılan şüpheli PowerShell çalıştırmalarını tespit edin
  • Ağ trafiği: Beklenmedik süreçlerden Ethereum blok zinciri düğümlerine veya ağ geçitlerine giden dış bağlantıları izleyin (PHANTOMPULSE'un C2 adresini doğrulama girişimi olabilir)
  • Dosya yolu: [Vault]/.obsidian/plugins/ dizini içinde dosya oluşturma veya değiştirme olaylarını, özellikle resmi eklenti pazaryeri dışındaki değişiklikleri izleyin

Tespit ve müdahale

  • Süreç analizi (D3-PA): Obsidian süreci komut satırı yorumlayıcıları (powershell.exe, cmd.exe, bash, osascript) başlattığında tespit ve uyarı üreten EDR kuralları uygulayın — bu son derece sıra dışı bir davranış
  • Kullanıcı eğitimi: Yüksek riskli sektörlerde çalışanları sosyal mühendislik riskleri ve paylaşılan vault ile eklenti özelliklerinin kötüye kullanılması taktikleri konusunda eğitin
  • Uygulama kontrolü (D3-EAL): Mümkünse Obsidian gibi uygulamalarda onaylanmamış topluluk eklentilerinin kurulmasını ve çalıştırılmasını sınırlayan uygulama kontrol politikaları uygulayın
  • Ağ izleme (D3-NTA): Blok zinciri hizmetleriyle ilişkili anormal DNS sorguları veya doğrudan IP bağlantılarının normalde beklenmeyen uç noktalardan gelip gelmediğini izleyin

Azaltma önlemleri

  • Topluluk eklentisi doğrulaması: Tüm uygulamalarda üçüncü taraf veya topluluk geliştirmeli eklentileri etkinleştirirken son derece dikkatli olun; yalnızca resmi pazaryerindeki güvenilir eklentileri kurun ve izinleri mutlaka gözden geçirin
  • Güvenilmeyen vault'larda otomatik senkronizasyonu devre dışı bırakma: Kaynağı bilinmeyen veya güvenilmeyen Obsidian vault'larına bağlanırken eklenti senkronizasyonunu etkinleştirmeyin
  • En az ayrıcalık ilkesi: Obsidian gibi uygulamaları yönetici yetkileriyle değil standart kullanıcı olarak çalıştırarak ihlal durumunda etki alanını sınırlayın
  • Uç nokta güvenliği: Şüpheli betik çalıştırmalarını ve process injection tekniklerini tespit edip engellemek için güncel EDR ve antivirüs çözümleri dağıtın

İlgili okumalar

1 yorum

 
GN⁺ 2026-05-11
Hacker News yorumları

  • Obsidian CEO’suyum. Eklenti güvenliğiyle ilgili büyük bir güncelleme yakında geliyor ve bunun bu başlıkta dile getirilen endişelerin çoğunu giderebileceğini düşünüyorum
    Zor bir sorun ama üzerinde çalışıyoruz. Yine de başlık yanıltıcı. Bu yazı, kullanıcının Obsidian’ın birden fazla güvenlik uyarısını bizzat reddetmesini gerektiren bir sosyal mühendislik saldırısı hakkında; bildiğim kadarıyla kavram kanıtı düzeyinde ve gerçek bir mağduriyet bildirimi görmedim

    • Yıllardır eklentilerin güvenli olmadığını söylüyorum. Discord’da eklentilerin tam disk erişimi olduğunu söylediğim için tepki gördüğüm zamanı çok net hatırlıyorum. Artık çok geç
    • Artık eklentiler etkin olsa bile .obsidian klasörünü vault dışına taşıma ve varsayılan olarak vault içindeki bu klasörü yok sayma seçeneği gelecek mi?
    • Ne kadar zor olur bilmiyorum ama Android’deki gibi bir izin iletişim kutusu eklemek çok yardımcı olurdu. Obsidian eklentilerinin %99’unun ne tam disk erişimine ne de internet erişimine ihtiyacı var
    • İstemcinin kaynak kodunun açık olması da birçok endişeyi giderebilir
    • “Birden fazla güvenlik uyarısını aktif olarak reddetmek” derken açılır pencereler gibi bir şey mi kastediliyor? Çoğu insan bunları fazla düşünmeden onaylar
      Bence eklenti/uzantı çalıştırmak varsayılan olarak biraz daha zor olmalı. Eklenti kullanmadan önce ek engellerin kullanıcı sürtünmesi yarattığını anlıyorum, ama sandbox ya da başka kısıtlamalar olmadan incelenmemiş rastgele kodu güvenli şekilde çalıştırmanın gerçekten bir yolu olduğunu sanmıyorum

  • Bu yanıltıcı bir başlık. Sanki meşru bir eklenti ele geçirilmiş ve kötü amaçlı yazılım dağıtan başka bir tedarik zinciri saldırısı olmuş gibi gösteriyor
    Oysa gerçekte kurban, senkronize bir vault üzerinde işbirliğine davet ediliyor ve o vault’un içinde RAT teslim eden resmî olmayan bir eklenti önceden bulunuyor. Bu tamamen farklı bir hikâye

    • Nesi yanıltıcı?
      “Novel Campaign Abuses Obsidian Note-Taking App to Target Finance and Crypto Professionals with PHANTOMPULSE RAT” deniyor. Bu yeni bir saldırı, Obsidian’ı kötüye kullanıyor, belli bir grubu hedef alıyor ve RAT’in vault içinde olduğu anlamına geliyor; bu yüzden bana doğru bir ifade gibi görünüyor

  • Obsidian’ı gerçekten seviyorum ve her gün kullanıyorum ama topluluk eklentilerini kullanmıyorum çünkü izin sistemi yeterli değil
    Bir gün eklentilerin ihtiyaç duyduğu izinleri beyan ettiği ve bunun kullanıcıya gösterildiği zamanı umuyorum. Obsidian ekibinin bu konuya ciddi yaklaştığını düşünüyorum ve ne sunacaklarını merak ediyorum. Güvenim var ama en baştan daha iyi bir izin sistemi ve sandbox olmadan tasarlanmış olması şaşırtıcı

    • Markdown dosyalarına bakmak için VS Code kullanmaktan sıkıldığım için Obsidian kullanmaya başladım. Eklenti kurmam gerekmediği için şanslıyım. Görünüşe göre bu kısım oldukça kötü bir tasarım

  • “Mağdurlardan ‘Installed community plugins’ senkronizasyon özelliğini açmaları isteniyor”
    Obsidian’da bu tür saldırıları önlemek için korumalar var ve mağdurlar bunları görmezden gelmeye ikna edilmiş. Bu sadece başarılı bir sosyal mühendislik vakası. Bu saldırı Obsidian’ın ya da eklenti sisteminin bir açığını istismar etmiyor; bu yüzden böyle başlıklar yüzünden Obsidian’ın hedefe konmasını görmek hoşuma gitmiyor

    • Katılmıyorum. https://obsidian.md/help/plugin-security#Plugin+capabilities
      “Teknik sınırlamalar nedeniyle Obsidian, eklentileri belirli izinler veya erişim seviyeleriyle güvenilir biçimde kısıtlayamaz. Bu nedenle eklentiler Obsidian’ın erişim seviyesini devralır.”
      Topluluk eklentileri bilgisayarınızdaki dosyalara erişebilir, internete bağlanabilir ve ek programlar da kurabilir. Obsidian’ın hiçbir koruması yok; eklenti kurmak, bilgisayara tam erişim vermek demek. Bunun olması sadece zaman meselesiydi ve bence 2010 civarından beri böyle bir eklenti sistemini piyasaya sürmek mazur görülemez bir dikkatsizlikti
    • Obsidian’ı yoğun kullanıyorum ve seviyorum ama bu ifşanın değeri, eklentiler konusunda farkındalık yaratması ve saldırı yolunu göstermesinde yatıyor diye düşünüyorum
      Daha az deneyimli kullanıcılar “Sonuçta sadece bir Markdown dosyaları koleksiyonu, kötü amaçlı yazılım konusunda çok endişelenmem gerekmiyordur herhalde” diye düşünebilir

  • Neden neredeyse tüm eklenti sistemleri bu kadar gevşek tasarlanıyor? Doğru düzgün izolasyon/izin özellikleri sağlayan iyi bir eklenti geliştirme çatısı olmadığı için iş yükü çok fazla mı, yoksa insanlar ne gerektiğini yaygın olarak bilmediği için ancak kendi sistemleri suistimal edilince mi öğreniyor? İkisi birden mi, yoksa başka bir sebep mi var?

    • Temelde işlevsellik ile güvenlik arasındaki ödünleşim var. Kullanıcılara güçlü yetenekler verip harika şeyler yapmalarını sağlayabilirsiniz ya da anlamlı yeteneklerin çoğunu kaldırıp güvenli hale getirebilirsiniz. Çoğu insan güvenlikten çok işlevselliği tercih ediyor
      Bir diğer sorun da güvenliğin zor olması; genel erişim verip birkaç temel koruma eklemek ise kolay
    • Tüm eklentilerin ihtiyaç duyacağı güvenlik çerçevesi ve bileşenleri tanımlamanız gerekir; bunları tasarlamak, uygulamak, doğrulamak ve sürdürmek zaman alır
      O kısmı atlamak çok daha kolaydır. Yani evet, iş yükü fazla; daha doğrusu bu işin çok olduğunu ama doğru iş olduğunu anlayan güvenlik odaklı bir liderlik gerekiyor
    • Bunun, web yığını ve düzgün arayüzler tasarlayacak kaynak eksikliğinden kaynaklandığını tahmin ediyorum. Bu tür yazılımlar üst düzey JS çerçeveleriyle yazılıyor; dolayısıyla veri akışı kalıpları baştan iyi olmuyor ve çoğu zaman kasıtlı tasarım yerine pratikte mümkün olan yol izleniyor
      Kasıtlı biçimde tasarlamak için soyutlama katmanlarında aşağı inmeniz ve ilgili çerçevenin özel bir fork’unu sürdürmeniz gerekebilir. Bu yüzden muhtemelen uygulamanın kullandığı bağlamın bir kısmını geçirip, bir kütüphane örnekler gibi eklentileri tasarladılar. Sonuçta çalışan en basit yöntem bu. Açıklanan saldırı belirli bir “açık” tarif etmiyor ama Obsidian eklentileri her zaman tanrı modunda ve saldırganlar sadece insanları bunu kullanmaya kandırdı. Birkaç açılır pencerenin arkasında fiilen uzaktan kod çalıştırma bekliyorken sonunda kullanıcıyı suçlamak komik. Geliştiriciler utanmalı
    • Chrome tarayıcı eklentilerinde bile buna benzer güvenlik sorunları var. Milyarlarca dolar ve çok sayıda zeki geliştirici buna harcanmasına rağmen
      Bu, uygulamanın içine bir uygulama mağazası koymaya benziyor. Apple App Store, kimlerin ne yayımlayabileceğini çok sıkı sınırlayarak ve ücret engeli koyarak kötü amaçlı uygulamaları azaltıyor
    • Neden bir eklenti sistemi doğrudan sandbox anlamına gelmek zorunda olsun?

  • Sosyal mühendislik olsa bile, buna izin veren bir eklenti sistemi tasarımı varsa bu platform paylaşımlı araç olarak tamamen kullanılamaz
    Bunu bilmek iyi ama bana göre sonuç, “paylaşılan bir Obsidian vault kullanacaksan bu ayarı doğru tutmalısın”dan çok “paylaşılan Obsidian vault’ları asla kabul etme, onun yerine düz metin dışa aktarma iste” noktasına daha yakın

  • Obsidian’ı ilk kullanmaya başladığımda izlediğim YouTube videoları topluluk eklentilerinin kullanılmasını öneriyordu. Bu tür uyarılar olsa bile muhtemelen topluluk eklentilerini açardım
    Başta iyi niyetli olan bir eklenti geliştiricisi sonradan kötü niyetli hale gelebilir ve kullanıcı bunu bilemez. Geliştirici olmama ve bu riskleri bilmeme rağmen topluluk eklentileri seçeneğini yine de açardım; belki de risk toleransım yüksektir. Umarım azınlıktayımdır ve çoğu kullanıcı böyle davranmıyordur

  • Bu tür şeyler biraz salgın gibi yayılıyor. Her saldırının ya da exploit’in, özellikle de sosyal mühendislik saldırılarının, Metal Gear tarzı bir isme veya bir web sitesine ihtiyacı yok

  • İçeriği okuyunca sorunun Obsidian mağazasındaki eklentilerden değil, açmanız için kandırıldığınız kötü amaçlı bir vaulttan başladığı anlaşılıyor

  • Obsidian’ı kısıtlı izinlerle çalıştırıyorum. Ağ erişimi yok, kendi dizini dışındaki dosya sistemine erişim yok
    Yalnızca eklenti/tema güncelleyeceğim zaman ağ erişimini açıyorum. Güvenilmeyen kod çalıştırabilen diğer uygulamaları da aynı şekilde çalıştırıyorum

    • Bunu nasıl sandbox içine aldığını paylaşabilir misin?