Falsk Moltbot AI-kodningsassistent
Cybersikkerhedsforskere har identificeret en ondsindet Microsoft Visual Studio Code-udvidelse på den officielle markedsplads, der fejlagtigt annoncerede sig selv som en gratis AI-drevet kodningsassistent til Moltbot (tidligere Clawdbot). I stedet for at levere legitim funktionalitet, installerede udvidelsen i al hemmelighed en skadelig nyttelast på kompromitterede systemer.
Udvidelsen med titlen 'ClawdBot Agent – AI Coding Assistant' (clawdbot.clawdbot-agent) blev udgivet den 27. januar 2026 af en bruger ved navn 'clawdbot'. Microsoft har siden fjernet den fra Marketplace. Trusselaktører udnyttede Moltbots hurtige stigning i popularitet til at lokke intetanende udviklere til at installere et værktøj, som Moltbot ikke selv officielt tilbyder.
Indholdsfortegnelse
Hvorfor Moltbot var en attraktiv lokkemad
Moltbot har passeret 85.000 stjerner på GitHub, drevet af sit løfte om en lokalt hostet personlig AI-assistent drevet af store sprogmodeller. Platformen muliggør interaktion via velkendte tjenester som WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat og webbaserede chatklienter.
Et kritisk punkt, der ofte overses, er, at Moltbot ikke har nogen legitim VS Code-udvidelse. Angribere udnyttede dette hul ved at introducere et forfalsket plugin, der er designet til at integreres problemfrit i udviklernes økosystem.
Fra IDE-lancering til fuld fjernbetjening
Når den skadelige udvidelse var installeret, blev den automatisk udført, hver gang VS Code blev startet. Den hentede en fjern config.json-fil fra clawdbot.getintwopc.site, som instruerede udvidelsen i at køre en binær fil kaldet Code.exe. Denne eksekverbare fil installerede et legitimt fjernadgangsværktøj: ConnectWise ScreenConnect.
Den installerede ScreenConnect-klient oprettede derefter forbindelse til meeting.bulletmailer.net:8041, hvilket gav angriberne vedvarende, interaktiv fjernadgang til den inficerede maskine.
Redundant levering og robusthedstaktikker
Angriberne drev deres egen ScreenConnect-relæinfrastruktur og distribuerede en prækonfigureret klient gennem udvidelsen. Flere fallback-mekanismer sikrede levering af nyttelast, selv hvis primære kommando- og kontrolkanaler fejlede.
Disse omfattede:
- Hentning og sideloading af en Rust-baseret ondsindet DLL (DWrite.dll) refereret til i config.json, som er i stand til at downloade ScreenConnect-klienten fra Dropbox.
- DLL-sideloading via Code.exe, som fortrinsvis indlæser det skadelige bibliotek, når det placeres i samme mappe.
- Hardkodede URL'er i udvidelsen peger på alternative downloadplaceringer.
- En batch-script-baseret backupmetode, der henter nyttelast fra darkgptprivate.com.
Dybere analyse tyder på, at angriberne forudså operationelle fejl, da flere mekanismer var upålidelige, men alligevel lagdelte for at sikre vedholdenhed.
Den større eksponering: Usikre Moltbot-implementeringer
Ud over den ondsindede udvidelse opdagede forskere hundredvis af uautoriserede Moltbot-forekomster online. Disse var resultatet af en klassisk reverse-proxy-fejlkonfiguration, der afslørede konfigurationsfiler, API-nøgler, OAuth-legitimationsoplysninger og private chathistorikker.
Fejlen stammede fra Moltbots automatiske godkendelse af 'lokale' forbindelser kombineret med implementeringer bag reverse proxyer. Internet-oprindelig trafik blev fejlagtigt behandlet som betroet lokal adgang, hvilket muliggjorde uautoriseret kontrol.
Når AI-agenter bliver angrebsrepræsentanter
Moltbot-agenter besidder operationel autonomi. De kan sende beskeder på vegne af brugere, interagere på tværs af større beskedplatforme, udføre værktøjer og køre kommandoer. Dette introducerer alvorlige risici, hvis der opnås uautoriseret adgang.
- Kompromitterede agenter kan misbruges til at:
- Efterligne operatører og indsætte beskeder i private samtaler
- Manipuler agentoutput og arbejdsgange
- Eksfiltrér følsomme data usynligt
- Distribuer ondsindede eller bagdørsbaserede 'færdigheder' via MoltHub (tidligere ClawdHub), hvilket muliggør angreb i forsyningskæden
Udbredte fejlkonfigurationer har allerede skabt betingelser for lækage af legitimationsoplysninger, misbrug af prompt-injection og kompromitteringsscenarier på tværs af cloud-systemer.
Et arkitektonisk svagt punkt
Kernen i problemet ligger Moltbots arkitekturfilosofi. Platformen prioriterer problemfri implementering frem for hærdede standardindstillinger. Brugere kan hurtigt integrere følsomme virksomhedstjenester uden tvungen firewalling, validering af legitimationsoplysninger eller plugin-sandboxing.
Sikkerhedseksperter advarer om, at Moltbots dybe adgang til virksomhedssystemer, ofte fra uadministrerede personlige enheder uden for traditionelle sikkerhedsperimetre, skaber kontrolpunkter med stor indflydelse, når de er forkert konfigureret. Fraværet af sandboxing og lagring af langtidshukommelse og legitimationsoplysninger i klartekst gør Moltbot til et særligt attraktivt mål.
Hvis en angriber kompromitterer værtsmaskinen, er avancerede teknikker unødvendige. Moderne infotyve indsamler rutinemæssigt kendte mapper for tokens, API-nøgler, logfiler og udviklerkonfigurationsdata. Når disse aktiver opbevares ukrypteret, kan de eksfiltreres inden for få sekunder.
Forskere har allerede observeret malware-as-a-service-familier som RedLine, Lumma og Vidar, der tilpasser sig specifikt til at målrette Moltbot-relaterede mappestrukturer.
Fra datatyveri til kognitiv kompromis
For informationstyverioperatører repræsenterer Moltbot-data mere end legitimationsoplysninger. Det muliggør det, som forskere beskriver som 'kognitiv konteksttyveri'. Adgang til samtalehistorik, systemprompter og langtidshukommelse giver modstandere mulighed for at forstå ikke kun systemer, men også operationelle intentioner.
Hvis angribere også får skriveadgang, f.eks. gennem en fjernadgangstrojan, der er installeret sammen med en "stealer", kan de eskalere til agentkapring og hukommelsesforgiftning, hvor de subtilt manipulerer adfærd, output og tillidsforhold over tid.
Øjeblikkelige risikoreducerende foranstaltninger
Organisationer og enkeltpersoner, der bruger Moltbot med standardindstillinger, rådes kraftigt til at tage øjeblikkelig defensiv handling:
- Revider alle konfigurationer og eksponerede tjenester.
- Tilbagekald og roter alle tilknyttede integrationer og legitimationsoplysninger.
- Gennemgå systemer for tegn på kompromittering.
- Håndhæv adgangskontroller og overvågning på netværksniveau.
Uden afgørende afhjælpning forbliver Moltbot-miljøer yderst sårbare over for stille overtagelser, dataoverførsel og angreb i downstream-forsyningskæden.
