Notitie-app Obsidian gaat plug-ins beter beveiligen nadat gebruikers het doelwit van aanvallers zijn geworden. Dat heeft de CEO via Hacker News aangekondigd. Vorige maand meldde Elastic Security Labs dat aanvallers Obsidian-gebruikers via malafide vaults met malware infecteerden. Slachtoffers, voornamelijk werkzaam in de financiële en cryptosector, werden via LinkedIn benaderd. Daarbij vroegen de aanvallers vervolgens het gesprek via Telegram voort te zetten.

Het slachtoffer werd vervolgens gevraagd om van notitie-app Obsidian gebruik te maken. De app slaat documenten van gebruikers op in een vault. Via de 'shared vault' optie is het mogelijk voor meerdere mensen om aan een document te werken. Zodra slachtoffers Obsidian hadden geïnstalleerd en verbinding met de shared vault maakten, kreeg het slachtoffer de instructie om 'community plugin sync' in te schakelen.

Zodra de optie staat ingeschakeld en er verbinding met de vault wordt gemaakt, wordt er automatisch een script gedownload en uitgevoerd, wat uiteindelijk tot de installatie van een remote access trojan leidt. Daarmee heeft de aanvaller controle over het besmette systeem. Er zijn payloads voor zowel macOS als Windows, aldus de onderzoekers. In een reactie op Hacker News laat de CEO van Obsidian weten dat er binnenkort een grote update voor het beveiligen van plug-ins uitkomt. "Het is een lastig probleem, maar we werken er aan."