해커들, Obsidian 플러그인 이용해 PHANTOMPULSE 트로이목마 유포 시도

핵심 포인트

Elastic Security Labs는 위협 행위자들이 벤처캐피털 회사를 사칭해 LinkedIn과 Telegram에서 표적을 유인한 뒤, 악성 코드가 포함된 Obsidian 노트 볼트를 열도록 했다고 밝혔다. 이 캠페인은 피해자가 볼트를 열 때 악성 페이로드를 실행하기 위해 Obsidian의 Shell Commands 플러그인을 사용했으며, Elastic Security Labs는 이번 공격이 소프트웨어 취약점을 악용한 것은 아니라고 말했다. Elastic Security Labs는 PHANTOMPULSE를 블록체인 기반 명령·제어 통신을 위해 이더리움 거래 데이터를 사용한, 이전에 문서화되지 않았던 Windows 원격 액세스 트로이목마로 식별했다. Elastic Security Labs는 macOS 페이로드가 Telegram 채널을 예비 명령·제어 경로로 사용하는 난독화된 AppleScript 드로퍼를 사용했으며, Elastic Defend가 PHANTOMPULSE가 실행되기 전에 공격을 차단했다고 밝혔다.

시장 심리

중립, 이벤트 주도.

이유: 위협 행위자들이 악성 노트 볼트에서 코드 실행을 시도하기 위해 Obsidian의 Shell Commands 플러그인을 사용한 것은, 직접적인 시장 촉매라기보다 운영 보안 이슈를 가리킨다.

유사 과거 사례

이 유형의 악성코드 캠페인은 보통 서드파티 플러그인과 공유 연구 파일에 대한 통제를 강화하게 만들지만, 그 자체로 즉각적인 시장 반응을 일으키는 경우는 대체로 없다. 이번 사례는 명령 채널이 일반적인 인프라만이 아니라 블록체인 연계 데이터를 사용했다는 점에서, 일반적인 악성코드 보고서보다 더 많은 주목을 받을 수 있다.

파급 효과

이번 공격은 크립토 펀드, 연구자, 트레이더들이 플러그인과 공유 볼트에 대한 통제를 강화하도록 만들 수 있으며, 이는 일부 협업 워크플로를 늦출 수 있다. 유사한 캠페인이 계속 블록체인 연계 명령 채널을 사용한다면 보안팀은 이더리움 연계 텔레메트리 모니터링을 확대할 수 있지만, 보고된 공격이 실행 전에 차단됐기 때문에 즉각적인 영향은 제한적으로 보인다.

기회와 리스크

기회: 주목할 만한 모니터링 지점은 Obsidian 사용자와 크립토 기업들이 플러그인 권한을 강화하거나 공유 볼트에서 Shell Commands를 비활성화하는지 여부인데, 이는 이번 사건이 보안 관행을 바꾸고 있음을 보여줄 것이기 때문이다.

리스크: 주시해야 할 핵심 리스크는 이후 공개에서 PHANTOMPULSE 또는 유사 악성코드가 엔드포인트 방어를 우회하거나 더 넓게 확산한 사실이 드러나는지 여부인데, 그렇게 되면 더 광범위한 자격 증명 탈취 가능성이 높아질 것이기 때문이다.