Hackers misbruiken notitie-app Obsidian om crypto te stelen via LinkedIn

woensdag, 15 april 2026 (20:40) - Newsbit.nl

In dit artikel:

Onderzoekers van Elastic Security Labs waarschuwen voor een nieuwe campagne gericht op cryptogebruikers, waarbij aanvallers misbruikmaken van de notitie-app Obsidian om malware te verspreiden. De operatie richt zich vooral op professionals uit de crypto- en financiële sector: aanvallers leggen eerst contact via LinkedIn, verplaatsen het gesprek naar Telegram en wekken zo vertrouwen door professioneel over te komen en te praten over diensten en liquiditeitsoplossingen.

Het misbruikmechanisme draait om Obsidian-community-plugins. Slachtoffers krijgen toegang tot een vermeende cloudkluis en worden gevraagd om plugins te synchroniseren. Obsidian zelf is niet gekraakt; de aanvallers smokkelen kwaadaardige code binnen via het pluginsysteem. De geïnfecteerde plugins installeren een remote access trojan die Elastic en collega-onderzoekers PHANTOMPULSE noemen. Met die malware krijgen aanvallers volledige, op afstand bestuurbare toegang tot het apparaat, kunnen ze meekijken, gegevens stelen en systemen manipuleren — wat bijzonder risicovol is voor wie privésleutels of seed phrases op hetzelfde apparaat bewaart.

Een technisch opvallend kenmerk is dat PHANTOMPULSE communicatie en instructies uit publieke blockchaintransacties haalt in plaats van via klassieke command-and-control-servers. Doordat die data onveranderlijk en openbaar is en de aanvallers meerdere blockchains gebruiken, wordt het voor verdedigers lastiger om de infrastructuur af te snijden of de communicatie te blokkeren.

Elastic plaatst deze campagne in een bredere trend van social-engineering-aanvallen die eerder ook leidden tot incidenten bij platforms als Drift en datalekken via supportkanalen bij Kraken: niet de technologie maar menselijke vertrouwensrelaties blijken vaak de zwakke schakel. Het advies: installeer geen plugins op verzoek van derden, wees kritisch bij LinkedIn- en Telegram-benaderingen, bewaar privésleutels nooit op een apparaat dat je koppelt aan onbekende software, en gebruik waar mogelijk hardware wallets en gescheiden, offline opslag.