옵시디언 플러그인으로 원격제어 악성코드 심은 공격 캠페인 발견

• 옵시디언(Obsidian) 플러그인 생태계를 악용한 꽤 정교한 표적 공격이 발견됨

  • 캠페인 이름은 REF6598, 배포된 악성코드는 PHANTOMPULSE라는 신규 원격 접근 트로이목마(RAT)
  • 타깃은 금융·가상자산 분야 종사자고, 윈도우와 맥OS를 모두 노림

• 공격 흐름은 전형적인 “툴 취약점”보다 “사람을 설득해서 권한을 열게 하는” 쪽에 가까움

  • 공격자는 벤처캐피털 관계자인 척 링크드인에서 접근하고, 이후 텔레그램 비공개 그룹으로 대화를 옮김
  • 최종 미끼는 클라우드로 공유된 옵시디언 볼트 협업 초대
  • 사용자가 볼트를 열고 Installed community plugins 동기화를 켜면, 공유 볼트 안의 악성 커뮤니티 플러그인이 활성화됨

• 핵심은 옵시디언의 커뮤니티 플러그인이 로컬에서 코드 실행 경로가 될 수 있다는 점임

  • 악용된 플러그인은 정상 플러그인처럼 보이는 Shell Commands와 Hider의 악성 버전
  • Shell Commands 플러그인을 통해 파워셸, cmd, bash, osascript 같은 쉘 실행으로 이어짐
  • 보안 관점에서는 Obsidian.exe가 갑자기 powershell.exe, cmd.exe, osascript를 실행하는 게 강한 이상 징후임

• PHANTOMPULSE가 까다로운 이유는 C2 주소를 이더리움 블록체인에서 가져온다는 점임

  • 악성코드는 하드코딩된 지갑 주소의 최신 트랜잭션을 조회함
  • 그 트랜잭션 데이터 안에 C2 서버 IP가 들어 있고, 악성코드는 이를 이용해 명령을 받아옴
  • 일반적인 도메인 차단이나 서버 압수보다 끊어내기 어려운 구조라 꽤 귀찮은 방식임

• 감염 이후 권한은 사실상 “내 장비를 공격자에게 빌려준” 수준까지 올라감

  • 키 입력 캡처, 스크린샷 촬영, 파일 유출, 임의 명령 실행이 가능함
  • 금융·가상자산 업계라면 회사 내부 자료, 투자 전략, 지갑 키, 거래소 계정 정보가 바로 털릴 수 있음
  • 크로스플랫폼이라 윈도우 사용자만 조심하면 되는 얘기도 아님

• 방어는 결국 플러그인 권한과 앱 실행 정책을 조이는 쪽으로 가야 함

  • 옵시디언 같은 생산성 앱이 파워셸이나 쉘을 실행하지 못하게 애플리케이션 제어 정책을 걸면 공격 체인을 끊을 수 있음
  • 서드파티 플러그인 설치나 동기화는 기본 차단 또는 강한 승인 절차를 두는 게 맞음
  • 사용자는 갑작스러운 협업 초대, 특히 링크드인·텔레그램에서 이어지는 “투자/협업” 시나리오를 의심해야 함

---

기술 맥락

• 이번 공격에서 중요한 선택은 옵시디언 자체를 깨는 게 아니라 플러그인 신뢰 모델을 이용한 거예요. 사용자가 직접 커뮤니티 플러그인을 켜야 하므로 겉으로는 정상 승인 흐름처럼 보이는데, 그 순간 로컬 쉘 실행까지 이어질 수 있거든요.

• 공격자가 블록체인 기반 C2를 쓴 이유는 인프라를 쉽게 바꾸고 차단을 어렵게 만들기 위해서예요. 방어팀이 특정 IP를 막아도, 악성코드가 다음 트랜잭션에서 새 주소를 읽어오면 다시 살아날 수 있어요.

• 실무에서는 Obsidian.exe 같은 노트 앱이 powershell.exe나 osascript를 띄우는지를 보는 탐지가 꽤 실용적이에요. 이 조합은 일반 사용 패턴에서는 흔하지 않아서, EDR이나 SIEM 룰로 잡아낼 만한 신호가 돼요.

• 플러그인 기반 도구를 많이 쓰는 개발 조직이라면 “플러그인은 코드다”라는 전제를 두는 게 좋아요. 마켓플레이스에서 받은 플러그인뿐 아니라 공유 워크스페이스에 딸려오는 설정까지 실행 경로가 될 수 있기 때문이에요.