Una campaña de cibercriminales ha conseguido explotar la arquitectura abierta de plugins de Obsidian, la popular aplicación de notas utilizada por millones de desarrolladores y profesionales de tecnología, para ejecutar código malicioso en sus sistemas. El ataque desplegó el troyano de acceso remoto conocido como Phantom Pulse.

La técnica utilizada por los atacantes se basa en publicar plugins aparentemente legítimos en la biblioteca comunitaria de Obsidian. Una vez instalados por las víctimas, estos plugins maliciosos establecían conexión con servidores controlados por los cibercriminales y descargaban el troyano Phantom Pulse, capaz de registrar teclas, robar contraseñas y ejecutar comandos remotos en el sistema infectado.

Lo que hace particularmente peligroso este ataque es la confianza implícita que los usuarios depositan en los plugins de Obsidian. A diferencia de las tiendas de aplicaciones con procesos de revisión estrictos, la biblioteca de plugins de Obsidian carece de verificación centralizada, lo que permite a cualquier desarrollador publicar extensiones sin controles de seguridad exhaustivos.

Los investigadores de NetSecOps han recomendado a los usuarios de Obsidian revisar los plugins instalados recientemente, eliminar cualquier extensión de origen desconocido y mantenerse alerta ante permisos excesivos solicitados por plugins. Phantom Pulse representa una nueva generación de troyanos diseñados específicamente para entornos de trabajo de desarrolladores, donde pueden permanecer ocultos durante semanas antes de ser detectados.