Фалшив асистент за кодиране с изкуствен интелект Moltbot
Изследователи по киберсигурност са идентифицирали злонамерено разширение на Microsoft Visual Studio Code в официалния Marketplace, което фалшиво се рекламира като безплатен асистент за кодиране, задвижван от изкуствен интелект, за Moltbot (преди Clawdbot). Вместо да предоставя легитимна функционалност, разширението тихомълком е разгръщало вреден полезен товар върху компрометирани системи.
Разширението, озаглавено „ClawdBot Agent – AI Coding Assistant“ (clawdbot.clawdbot-agent), беше публикувано на 27 януари 2026 г. от потребител с име „clawdbot“. Оттогава Microsoft го премахна от Marketplace. Злоумишлениците се възползваха от бързото нарастване на популярността на Moltbot, за да привлекат нищо неподозиращи разработчици да инсталират инструмент, който самият Moltbot не предлага официално.
Съдържание
Защо Moltbot беше привлекателна стръв
Moltbot надхвърли 85 000 звезди в GitHub, подхранван от обещанието си за локално хостван личен асистент с изкуствен интелект, задвижван от големи езикови модели. Платформата позволява взаимодействие чрез познати услуги като WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat и уеб-базирани чат клиенти.
Често пренебрегван критичен момент е, че Moltbot няма легитимно разширение за VS Code. Хакерите се възползваха от тази празнина, като въведоха фалшив плъгин, предназначен да се слее безпроблемно с екосистемата на разработчиците.
От стартиране на IDE до пълно дистанционно управление
След инсталирането си, злонамереното разширение се изпълняваше автоматично при всяко стартиране на VS Code. То извличаше отдалечен файл config.json от clawdbot.getintwopc.site, който инструктираше разширението да изпълни двоичен файл, наречен Code.exe. Този изпълним файл внедряваше легитимен инструмент за отдалечен достъп: ConnectWise ScreenConnect.
След това инсталираният клиент ScreenConnect се свърза с meeting.bulletmailer.net:8041, предоставяйки на атакуващите постоянен, интерактивен отдалечен достъп до заразената машина.
Тактики за излишна доставка и устойчивост
Нападателите са управлявали собствена инфраструктура за релейна връзка ScreenConnect, разпространявайки предварително конфигуриран клиент чрез разширението. Множество резервни механизми са осигурявали доставка на полезен товар, дори ако основните канали за командване и контрол са се повредили.
Те включват:
- Извличане и странично зареждане на злонамерен DLL файл, базиран на Rust, (DWrite.dll), посочен в config.json, способен да изтегля клиента ScreenConnect от Dropbox.
- Странично зареждане на DLL файлове чрез Code.exe, което би заредило преференциално злонамерената библиотека, когато е поставена в същата директория.
- Твърдо кодирани URL адреси в разширението, сочещи към алтернативни места за изтегляне.
- Метод за архивиране, базиран на пакетни скриптове, който извлича полезни товари от darkgptprivate.com.
По-задълбочен анализ показва, че нападателите са очаквали оперативни сривове, тъй като няколко механизма са били ненадеждни, но са били разработени на пластове за постоянство.
По-голямото излагане: Несигурни внедрявания на Moltbot
Освен злонамереното разширение, изследователите откриха онлайн стотици неавтентични екземпляри на Moltbot. Те бяха резултат от класическа неправилна конфигурация на обратна прокси, която разкри конфигурационни файлове, API ключове, OAuth идентификационни данни и частни истории на чатове.
Проблемът произтичаше от автоматичното одобряване на „локални“ връзки от Moltbot, комбинирано с внедряване зад обратни прокси сървъри. Трафикът, произхождащ от интернет, погрешно се третираше като доверен локален достъп, което позволяваше неавторизиран контрол.
Когато агентите с изкуствен интелект станат проксита за атаки
Агентите на Moltbot притежават оперативна автономност. Те могат да изпращат съобщения от името на потребители, да взаимодействат в основни платформи за съобщения, да изпълняват инструменти и команди. Това води до сериозни рискове, ако се получи неоторизиран достъп.
- Компрометираните агенти могат да бъдат злоупотребявани за:
- Представяйте се за оператори и вмъквайте съобщения в лични разговори
- Манипулиране на изходите на агентите и работните процеси
- Извличане на чувствителни данни незабележимо
- Разпространяват злонамерени или „бекдор“ „умения“ чрез MoltHub (преди ClawdHub), което позволява атаки в стил верига за доставки
Широко разпространените неправилни конфигурации вече са създали условия, подходящи за изтичане на идентификационни данни, злоупотреба с promptne инжектиране и сценарии за компрометиране между облаците.
Архитектурна слаба точка
В основата на проблема се крие архитектурната философия на Moltbot. Платформата дава приоритет на безпроблемното внедряване пред взискателните настройки по подразбиране. Потребителите могат бързо да интегрират чувствителни корпоративни услуги без принудителна защитна стена, валидиране на идентификационни данни или изолация на плъгини.
Специалистите по сигурността предупреждават, че дълбокият достъп на Moltbot до корпоративните системи, често от неуправлявани лични устройства извън традиционните периметри за сигурност, създава контролни точки с голямо въздействие при неправилна конфигурация. Липсата на пясъчник и съхранението на дългосрочна памет и идентификационни данни в открит текст правят Moltbot особено привлекателна цел.
Ако атакуващ компрометира хост машината, усъвършенстваните техники не са необходими. Съвременните крадци на информация рутинно събират от известни директории токени, API ключове, лог файлове и данни за конфигурация на разработчици. Когато тези активи се съхраняват некриптирани, те могат да бъдат откраднати за секунди.
Изследователите вече са наблюдавали семейства „зловреден софтуер като услуга“, като RedLine, Lumma и Vidar, които се адаптират специално към структури на директории, свързани с Moltbot.
От кражба на данни до когнитивен компрометиране
За операторите на инфостейлър, данните на Moltbot представляват повече от просто идентификационни данни. Те позволяват това, което изследователите описват като „кражба на когнитивен контекст“. Достъпът до история на разговори, системни подкани и дългосрочна памет позволява на противниците да разберат не само системите, но и оперативните намерения.
Ако нападателите получат и достъп за запис, например чрез троянски кон за отдалечен достъп, разположен заедно с крадец на данни, те могат да ескалират до отвличане на агенти и отравяне на паметта, като фино манипулират поведението, резултатите и доверителните отношения с течение на времето.
Незабавни мерки за смекчаване на риска
Организациите и лицата, работещи с Moltbot с настройки по подразбиране, силно се съветват да предприемат незабавни защитни действия:
- Одитирайте всички конфигурации и открити услуги.
- Отменете и завъртете всяка свързана интеграция и идентификационни данни.
- Прегледайте системите за признаци на компрометиране.
- Приложете контрол на достъпа и мониторинг на мрежово ниво.
Без решителни мерки за отстраняване на проблеми, среди с Moltbot остават силно податливи на тихо поглъщане, източване на данни и атаки по веригата за доставки надолу по веригата.
