Trojan baru disebarkan lewat kampanye rekayasa sosial yang menyalahgunakan plugin Obsidian

 (cyber.netsecops.io)
3 poin oleh GN⁺ 2026-05-11 | 1 komentar | Bagikan ke WhatsApp
  • Kampanye yang sangat tertarget ditemukan menargetkan pekerja di industri keuangan dan kripto dengan mempersenjatai fitur shared vault pada aplikasi catatan Obsidian dan menyebarkan trojan akses jarak jauh (RAT) baru yang sebelumnya belum terdokumentasi
  • Penyerang menyamar sebagai venture capitalist di LinkedIn dan Telegram untuk membangun kepercayaan, lalu memancing korban ke shared vault Obsidian berbahaya
  • Saat korban menyetujui sinkronisasi plugin komunitas secara manual, kode berbahaya dijalankan; di Windows loader PHANTOMPULL dijatuhkan melalui PowerShell, sedangkan di macOS melalui AppleScript
  • RAT PHANTOMPULSE secara dinamis mengekstrak alamat server C2 dari data transaksi blockchain Ethereum, sehingga memiliki ketahanan tinggi terhadap metode takedown konvensional
  • Sebagai serangan lintas platform yang mendukung Windows dan macOS, malware ini memungkinkan kontrol jarak jauh yang komprehensif termasuk perekaman penekanan tombol, tangkapan layar, eksfiltrasi file, dan eksekusi perintah sewenang-wenang

Gambaran ancaman

  • Serangan yang diberi penanda REF6598 ini merupakan kampanye rekayasa sosial bertahap
  • Pelaku ancaman menyamar sebagai venture capitalist di situs jejaring profesional untuk mendekati target, lalu memindahkan percakapan ke grup Telegram privat
  • Umpan utamanya adalah undangan kolaborasi melalui shared vault Obsidian yang di-host di cloud
  • Saat korban membuka shared vault tersebut, mereka diarahkan untuk mengaktifkan fitur sinkronisasi "Installed community plugins"
    • Persetujuan ini harus dilakukan secara manual, dan inilah pemicu utama infeksi
    • Saat diaktifkan, versi yang dimodifikasi secara berbahaya dari plugin sah yang disertakan di shared vault ('Shell Commands', 'Hider') akan dijalankan

Analisis teknis

  • Rantai serangan sedikit berbeda di Windows dan macOS, tetapi mengikuti prinsip yang sama
  • Akses awal (T1566.002): korban dibujuk melalui rekayasa sosial di LinkedIn/Telegram untuk membuka shared vault Obsidian berbahaya
  • Eksekusi (T1204.002): pengguna dimanipulasi agar mengaktifkan plugin komunitas di Obsidian, lalu skrip berbahaya dijalankan melalui plugin 'Shell Commands' yang telah dimodifikasi
  • Staging: di Windows, skrip PowerShell dijalankan untuk menjatuhkan loader bernama PHANTOMPULL; di macOS, proses serupa berlangsung melalui AppleScript
  • Pengiriman payload: loader PHANTOMPULL memuat RAT PHANTOMPULSE langsung ke memori sebagai payload akhir untuk menghindari deteksi berbasis file (injeksi proses T1055)
  • Komunikasi C2 (T1102.002): PHANTOMPULSE mengambil transaksi terbaru dari blockchain Ethereum menggunakan alamat dompet yang di-hardcode untuk mengekstrak alamat IP server C2
    • Karena alamat IP disematkan di dalam data transaksi, komunikasi C2 menjadi terdesentralisasi dan tahan sensor
  • Setelah aktif, PHANTOMPULSE dapat merekam penekanan tombol, mengambil tangkapan layar, mengeksfiltrasi file, dan menjalankan perintah sewenang-wenang

Penilaian dampak

  • Jika kompromi berhasil, penyerang memperoleh akses penuh ke sistem korban
  • Bagi pekerja di industri keuangan dan kripto, terdapat risiko pencurian data perusahaan yang sensitif, kekayaan intelektual, strategi trading, kunci dompet kripto, dan kredensial autentikasi bursa
  • Sifat lintas platform memperluas cakupan potensi dampak
  • C2 berbasis blockchain menunjukkan tingkat kecanggihan yang tinggi dan membuat infrastruktur ancaman sangat sulit diblokir

Indikator observasi siber untuk deteksi

  • Pemantauan proses: awasi apakah Obsidian.exe membuat proses anak seperti powershell.exe, cmd.exe, osascript
  • Pola command line: powershell -ExecutionPolicy Bypass — deteksi eksekusi PowerShell mencurigakan yang dimulai dari aplikasi nonstandar seperti Obsidian
  • Lalu lintas jaringan: pantau koneksi outbound ke node atau gateway blockchain Ethereum dari proses yang tidak semestinya (kemungkinan upaya PHANTOMPULSE memeriksa alamat C2)
  • Jalur file: pantau pembuatan atau modifikasi file dalam direktori [Vault]/.obsidian/plugins/, terutama perubahan di luar marketplace plugin resmi

Deteksi dan respons

  • Analisis proses (D3-PA): terapkan aturan EDR untuk mendeteksi dan memberi peringatan ketika proses Obsidian membuat interpreter command line (powershell.exe, cmd.exe, bash, osascript) — ini adalah perilaku yang sangat tidak lazim
  • Edukasi pengguna: berikan edukasi kepada pekerja di industri berisiko tinggi mengenai bahaya rekayasa sosial dan taktik penyalahgunaan fitur shared vault dan plugin
  • Kontrol aplikasi (D3-EAL): jika memungkinkan, terapkan kebijakan kontrol aplikasi yang membatasi pemasangan dan eksekusi plugin komunitas yang tidak disetujui pada aplikasi seperti Obsidian
  • Pemantauan jaringan (D3-NTA): awasi kueri DNS yang tidak lazim terkait layanan blockchain atau koneksi IP langsung dari endpoint yang seharusnya tidak melakukannya

Langkah mitigasi

  • Verifikasi plugin komunitas: saat mengaktifkan plugin pihak ketiga atau plugin komunitas di aplikasi apa pun, diperlukan kehati-hatian maksimal; instal hanya plugin tepercaya dari marketplace resmi dan selalu tinjau izin yang diminta
  • Nonaktifkan sinkronisasi otomatis untuk vault yang tidak tepercaya: saat terhubung ke vault Obsidian dari sumber yang tidak dikenal atau tidak tepercaya, jangan aktifkan sinkronisasi plugin
  • Prinsip hak akses minimum: jalankan aplikasi seperti Obsidian sebagai pengguna standar, bukan dengan hak administrator, untuk membatasi dampak jika terjadi kompromi
  • Keamanan endpoint: terapkan solusi EDR dan antivirus terbaru untuk mendeteksi dan memblokir eksekusi skrip mencurigakan serta teknik injeksi proses

Bacaan terkait

1 komentar

 
GN⁺ 2026-05-11
Komentar Hacker News

  • Saya CEO Obsidian. Pembaruan besar terkait keamanan plugin akan segera hadir, dan saya rasa itu bisa meredakan banyak kekhawatiran yang muncul di thread ini
    Ini masalah yang sulit, tetapi sedang kami kerjakan. Meski begitu, judulnya menyesatkan. Tulisan ini membahas serangan rekayasa sosial yang mengharuskan pengguna menolak sendiri berbagai peringatan keamanan Obsidian, dan setahu saya ini masih sebatas proof of concept, serta saya belum melihat laporan korban nyata

    • Saya sudah bilang selama beberapa tahun bahwa plugin itu tidak aman. Saya masih ingat jelas diserang di Discord setelah mengatakan plugin memiliki akses penuh ke seluruh disk. Sudah terlambat
    • Jadi sekarang meskipun plugin diaktifkan, apakah akan ada opsi untuk memindahkan folder .obsidian ke luar vault, dan secara default mengabaikan folder itu di dalam vault?
    • Saya tidak tahu seberapa sulitnya, tetapi menambahkan dialog izin seperti di Android tampaknya akan sangat membantu. 99% plugin Obsidian tidak membutuhkan akses penuh ke disk maupun akses internet
    • Membuka source code klien juga akan meredakan banyak kekhawatiran
    • Maksud dari “secara aktif menolak berbagai peringatan keamanan” itu popup semacam itu? Kebanyakan orang menyetujui hal seperti itu tanpa banyak berpikir
      Menurut saya plugin/ekstensi pada dasarnya harus dibuat sedikit lebih sulit untuk dijalankan. Saya paham hambatan tambahan sebelum memakai plugin menimbulkan gesekan bagi pengguna, tetapi saya rasa memang tidak ada cara untuk menjalankan kode arbitrer yang tidak ditinjau dengan aman tanpa sandbox atau pembatasan lain

  • Ini judul yang menyesatkan. Judulnya membuat seolah-olah plugin normal telah dibajak untuk menyebarkan malware dalam serangan supply chain lainnya
    Padahal sebenarnya korban diundang ke kolaborasi vault yang disinkronkan, dan di dalam vault itu sudah ada plugin tidak resmi yang mengantarkan RAT. Itu cerita yang sama sekali berbeda

    • Bagian mana yang menyesatkan?
      Tertulis “Novel Campaign Abuses Obsidian Note-Taking App to Target Finance and Crypto Professionals with PHANTOMPULSE RAT”. Itu memang serangan baru, menyalahgunakan Obsidian, menargetkan kelompok tertentu, dan RAT ada di dalam vault, jadi menurut saya itu phrasing yang tepat

  • Saya sangat suka Obsidian dan memakainya setiap hari, tetapi saya tidak menggunakan plugin komunitas karena sistem izinnya tidak memadai
    Saya berharap suatu hari plugin harus mendeklarasikan izin yang dibutuhkan, dan itu ditampilkan kepada pengguna. Saya yakin tim Obsidian akan menanggapi masalah ini dengan serius, dan saya menantikan apa yang akan mereka keluarkan. Saya percaya pada mereka, tetapi tetap mengejutkan bahwa ini sejak awal dirancang tanpa sistem izin dan sandbox yang lebih baik

    • Saya mulai memakai Obsidian karena bosan menggunakan VS Code untuk melihat file Markdown. Syukurlah saya tidak perlu memasang plugin. Dari luar, bagian ini tampak sebagai desain yang cukup buruk

  • “Korban diminta menyalakan fitur sinkronisasi ‘Installed community plugins’”
    Obsidian memang punya perlindungan untuk mencegah serangan seperti ini, dan korban dibujuk untuk mengabaikannya. Ini hanya insiden rekayasa sosial yang berhasil. Serangan ini tidak mengeksploitasi kerentanan di Obsidian atau sistem pluginnya, jadi saya tidak suka melihat Obsidian ikut diseret jatuh karena judul seperti ini

    • Saya tidak setuju. https://obsidian.md/help/plugin-security#Plugin+capabilities
      “Karena keterbatasan teknis, Obsidian tidak dapat secara andal membatasi plugin ke izin atau tingkat akses tertentu. Karena itu, plugin mewarisi tingkat akses Obsidian.”
      Plugin komunitas dapat mengakses file di komputer, terhubung ke internet, dan bahkan memasang program tambahan. Obsidian sama sekali tidak punya perlindungan, dan memasang plugin berarti memberi akses penuh ke komputer. Ini hanya soal waktu, dan menurut saya sejak sekitar 2010 meluncurkan sistem plugin seperti ini sudah merupakan kelalaian yang tidak bisa dibela
    • Saya banyak memakai dan menyukai Obsidian, tetapi menurut saya nilai dari pengungkapan ini adalah menyebarkan kesadaran tentang plugin dan menunjukkan jalur serangan
      Pengguna yang kurang berpengalaman bisa saja berpikir, “Ini cuma kumpulan file Markdown. Mungkin saya tidak perlu terlalu khawatir soal malware”

  • Kenapa hampir semua sistem plugin dirancang selemah ini? Saya penasaran apakah karena tidak ada framework pengembangan plugin yang bagus yang menyediakan isolasi/izin dengan benar sehingga pekerjaannya jadi terlalu banyak, atau karena orang tidak tahu luas apa yang dibutuhkan lalu baru belajar setelah sistem mereka disalahgunakan. Atau keduanya, atau ada alasan lain?

    • Pada intinya ada trade-off antara fungsionalitas dan keamanan. Anda bisa memberi pengguna kemampuan besar untuk melakukan hal-hal keren, atau menghapus sebagian besar kemampuan yang berarti demi membuatnya aman. Kebanyakan orang biasanya lebih memilih fungsionalitas daripada keamanan
      Masalah lainnya, keamanan itu sulit, sedangkan memberi akses umum dan menambahkan penjaga dasar itu mudah
    • Anda harus mendefinisikan framework keamanan dan komponen yang akan dibutuhkan semua plugin, lalu meluangkan waktu untuk merancang, mengimplementasikan, memverifikasi, dan memeliharanya
      Jauh lebih mudah untuk melewati bagian itu saja. Jadi ya, memang pekerjaannya terlalu banyak, dan lebih tepatnya dibutuhkan kepemimpinan yang berfokus pada keamanan untuk memahami bahwa ini banyak kerja, tetapi kerja yang benar
    • Dugaan saya karena kurangnya sumber daya untuk merancang web stack dan antarmuka yang tepat. Perangkat lunak seperti ini ditulis dengan framework JS tingkat tinggi, sehingga pola aliran datanya pada dasarnya buruk, dan sering kali hanya mengikuti apa yang secara praktis bisa dilakukan alih-alih desain yang disengaja
      Untuk merancangnya secara sengaja, mungkin Anda harus turun ke lapisan abstraksi yang lebih rendah dan memelihara custom fork dari framework terkait. Jadi kemungkinan plugin dirancang seperti menginstansiasi library dengan memberikan sebagian konteks yang dipakai aplikasi. Pada akhirnya itu cara paling sederhana yang tetap berjalan. Peretasan yang dipublikasikan ini tidak membicarakan “kerentanan” tertentu, tetapi plugin Obsidian memang selalu berjalan dalam mode dewa, dan penyerang hanya menipu orang agar memakainya. Lucu juga pada akhirnya menyalahkan pengguna ketika pada dasarnya remote code execution menunggu di balik beberapa popup. Para pengembang seharusnya malu
    • Bahkan plugin browser Chrome pun punya masalah keamanan serupa. Padahal miliaran dolar dan banyak pengembang sangat pintar sudah dicurahkan ke sana
      Ini mirip seperti membuat app store di dalam aplikasi. Apple App Store mengurangi aplikasi jahat dengan sangat ketat membatasi siapa yang boleh memublikasikan apa, dan juga menambahkan hambatan berbayar
    • Kenapa sistem plugin harus langsung diasumsikan berarti sandbox?

  • Walaupun ini rekayasa sosial, jika desain sistem pluginnya memungkinkan hal seperti ini, maka platform ini sama sekali tidak layak sebagai alat berbagi
    Ini bagus untuk diketahui, tetapi bagi saya ini bukan soal “kalau memakai vault Obsidian bersama, Anda harus menjaga pengaturan ini tetap benar”, melainkan lebih ke “jangan pernah menerima vault Obsidian bersama, dan mintalah ekspor teks biasa saja”

  • Saat pertama kali mulai memakai Obsidian, video-video YouTube yang saya tonton menganjurkan penggunaan plugin komunitas. Walaupun ada peringatan seperti ini, saya mungkin tetap akan menyalakan plugin komunitas
    Pengembang plugin yang awalnya berniat baik bisa saja berubah jahat di kemudian hari, dan pengguna tidak akan tahu. Saya ini pengembang dan tahu risiko seperti ini, tetapi saya rasa saya tetap akan menyalakan opsi plugin komunitas, jadi mungkin toleransi risiko saya memang tinggi. Semoga saya minoritas dan itu bukan perilaku mayoritas pengguna

  • Hal seperti ini mulai menyebar seperti semacam epidemi kecil. Tidak semua serangan atau eksploit, terutama serangan rekayasa sosial, perlu punya nama ala Metal Gear atau situs web sendiri

  • Jika membaca isinya, masalahnya tidak dimulai dari plugin di store Obsidian, melainkan dari vault berbahaya yang pengguna dibujuk untuk buka

  • Saya menjalankan Obsidian dengan izin terbatas. Tanpa akses jaringan, tanpa akses filesystem di luar direktorinya sendiri
    Saya hanya menyalakan akses jaringan saat memperbarui plugin/tema. Aplikasi lain yang bisa menjalankan kode tak tepercaya juga saya jalankan dengan cara yang sama

    • Bisa bagikan bagaimana Anda melakukan sandboxing?