Nieuws
image

Notitie-app Obsidian gaat plug-ins beter beveiligen na aanval op gebruikers

maandag 11 mei 2026, 12:36 door Redactie, 4 reacties

Notitie-app Obsidian gaat plug-ins beter beveiligen nadat gebruikers het doelwit van aanvallers zijn geworden. Dat heeft de CEO via Hacker News aangekondigd. Vorige maand meldde Elastic Security Labs dat aanvallers Obsidian-gebruikers via malafide vaults met malware infecteerden. Slachtoffers, voornamelijk werkzaam in de financiële en cryptosector, werden via LinkedIn benaderd. Daarbij vroegen de aanvallers vervolgens het gesprek via Telegram voort te zetten.

Het slachtoffer werd vervolgens gevraagd om van notitie-app Obsidian gebruik te maken. De app slaat documenten van gebruikers op in een vault. Via de 'shared vault' optie is het mogelijk voor meerdere mensen om aan een document te werken. Zodra slachtoffers Obsidian hadden geïnstalleerd en verbinding met de shared vault maakten, kreeg het slachtoffer de instructie om 'community plugin sync' in te schakelen.

Zodra de optie staat ingeschakeld en er verbinding met de vault wordt gemaakt, wordt er automatisch een script gedownload en uitgevoerd, wat uiteindelijk tot de installatie van een remote access trojan leidt. Daarmee heeft de aanvaller controle over het besmette systeem. Er zijn payloads voor zowel macOS als Windows, aldus de onderzoekers. In een reactie op Hacker News laat de CEO van Obsidian weten dat er binnenkort een grote update voor het beveiligen van plug-ins uitkomt. "Het is een lastig probleem, maar we werken er aan."

Reacties (4)
Reageer met quote
Vandaag, 15:48 door Anoniem
Het is natuurlijk helemaal geen 'lastig probleem' maar eerder een 'we hebben tot nu toe nog niets aan beveiliging gedaan' probleem.

Plugins zouden nooit automatisch ingeschakeld mogen worden en draaien in principe altijd in een sandbox. Iets met zero-trust enzovoorts....
Reageer met quote
Vandaag, 15:49 door Anoniem
Ik hoop dat obsidian wel veilig blijft, het is echt een geweldig programma. alle prompts en snippets er al in gerangschikt, overal tot mijn beschikking/ als ik zou moeten kiezen tussen obsidian en bijvoorbeeld word, ging die laatste direct direct de bin in.
Reageer met quote
Vandaag, 17:23 door Anoniem
Het leuke van dit nieuws op security.nl is,dat op de usenet indexer en sites ook gisteren een obsidian versie is gepost !

Voor de mensen die dit willen testen of dit aio inc plugins is ?
Reageer met quote
Vandaag, 17:30 door Anoniem
Door Anoniem: Het is natuurlijk helemaal geen 'lastig probleem' maar eerder een 'we hebben tot nu toe nog niets aan beveiliging gedaan' probleem.

Plugins zouden nooit automatisch ingeschakeld mogen worden en draaien in principe altijd in een sandbox. Iets met zero-trust enzovoorts....
Plugins werden niet automatisch aan gezet dat doet obsedian niet tenzij je dat zelf forceert.
Vandaar ook dat slachtoffers gevraagd werden zelf de plugin te activeren.

Hoe wil je zero trust uitvoeren als de beheerder het zelf is die het aanzet. Niet alsof er een organisatie met supervisor boven je als consument staat.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.

Zoeken
search
Certified Secure Full Stack Training 2026 Salt Road: Compromised Components