قیمت چند مجوز تخفیف
پایگاه داده تهدید بدافزار دستیار کدنویسی هوش مصنوعی جعلی Moltbot

دستیار کدنویسی هوش مصنوعی جعلی Moltbot

تا Mezo در بدافزار
ترجمه به:

محققان امنیت سایبری یک افزونه مخرب مایکروسافت ویژوال استودیو کد را در فروشگاه رسمی این شرکت شناسایی کرده‌اند که به دروغ خود را به عنوان یک دستیار کدنویسی رایگان مبتنی بر هوش مصنوعی برای Moltbot (که قبلاً Clawdbot نام داشت) تبلیغ می‌کرد. این افزونه به جای ارائه قابلیت‌های قانونی، به طور مخفیانه یک بار داده مضر را روی سیستم‌های آسیب‌پذیر مستقر می‌کرد.

این افزونه با عنوان «ClawdBot Agent – AI Coding Assistant» (clawdbot.clawdbot-agent) در تاریخ ۲۷ ژانویه ۲۰۲۶ توسط کاربری با نام «clawdbot» منتشر شد. مایکروسافت از آن زمان آن را از فروشگاه نرم‌افزاری خود حذف کرده است. مهاجمان از افزایش سریع محبوبیت Moltbot برای فریب توسعه‌دهندگان ناآگاه به منظور نصب ابزاری که خود Moltbot رسماً ارائه نمی‌دهد، استفاده کردند.

چرا مولت‌بات طعمه جذابی بود؟

مولت‌بات (Moltbot) با وعده‌ی خود مبنی بر ارائه‌ی یک دستیار هوش مصنوعی شخصی محلی که توسط مدل‌های زبانی بزرگ پشتیبانی می‌شود، از مرز ۸۵۰۰۰ ستاره در گیت‌هاب عبور کرده است. این پلتفرم امکان تعامل از طریق سرویس‌های آشنایی مانند واتس‌اپ، تلگرام، اسلک، دیسکورد، سیگنال، آی‌مسیج، مایکروسافت تیمز، گوگل چت و کلاینت‌های چت مبتنی بر وب را فراهم می‌کند.

نکته‌ی مهمی که اغلب نادیده گرفته می‌شود این است که Moltbot هیچ افزونه‌ی قانونی VS Code ندارد. مهاجمان با معرفی یک افزونه‌ی تقلبی که برای ادغام یکپارچه در اکوسیستم توسعه‌دهندگان طراحی شده بود، از این شکاف سوءاستفاده کردند.

از اجرای IDE تا کنترل کامل از راه دور

پس از نصب، افزونه‌ی مخرب هر بار که VS Code اجرا می‌شد، به‌طور خودکار اجرا می‌شد. این افزونه یک فایل پیکربندی از راه دور (remote config.json) را از clawdbot.getintwopc.site بازیابی می‌کرد که به افزونه دستور می‌داد یک فایل باینری به نام Code.exe را اجرا کند. این فایل اجرایی یک ابزار دسترسی از راه دور قانونی به نام ConnectWise ScreenConnect را مستقر می‌کرد.

سپس کلاینت نصب‌شده‌ی ScreenConnect به meeting.bulletmailer.net:8041 متصل شد و به مهاجمان دسترسی از راه دور تعاملی و مداوم به دستگاه آلوده را فراهم کرد.

تاکتیک‌های تحویل افزونه و تاب‌آوری

مهاجمان زیرساخت رله ScreenConnect خود را اداره می‌کردند و یک کلاینت از پیش پیکربندی‌شده را از طریق افزونه توزیع می‌کردند. مکانیسم‌های پشتیبان چندگانه، تحویل بار داده را حتی در صورت عدم موفقیت کانال‌های اصلی فرمان و کنترل تضمین می‌کردند.

این موارد شامل موارد زیر بود:

  • بازیابی و بارگذاری جانبی یک DLL مخرب مبتنی بر Rust (DWrite.dll) که در config.json به آن ارجاع داده شده است و قادر به دانلود کلاینت ScreenConnect از دراپ‌باکس است.
  • بارگذاری جانبی DLL از طریق Code.exe، که ترجیحاً کتابخانه‌ی مخرب را هنگام قرار گرفتن در همان دایرکتوری بارگذاری می‌کند.
  • URL های کدگذاری شده در افزونه که به مکان های دانلود جایگزین اشاره می کنند.
  • یک روش پشتیبان‌گیری مبتنی بر اسکریپت دسته‌ای که داده‌های مخرب را از darkgptprivate.com تهیه می‌کند.

    • تجزیه و تحلیل عمیق‌تر نشان می‌دهد که مهاجمان پیش‌بینی شکست‌های عملیاتی را می‌کردند، زیرا چندین مکانیسم غیرقابل اعتماد اما لایه لایه برای ماندگاری بودند.

    افشاگری بزرگ‌تر: استقرارهای ناامن Moltbot

    فراتر از افزونه‌ی مخرب، محققان صدها نمونه‌ی احراز هویت نشده‌ی Moltbot را به صورت آنلاین کشف کردند. این موارد نتیجه‌ی پیکربندی نادرست پروکسی معکوس کلاسیک بود که فایل‌های پیکربندی، کلیدهای API، اعتبارنامه‌های OAuth و تاریخچه‌ی چت‌های خصوصی را در معرض خطر قرار می‌داد.

    این نقص ناشی از تأیید خودکار اتصالات «محلی» Moltbot همراه با استقرار در پشت پروکسی‌های معکوس بود. ترافیک منشأ گرفته از اینترنت به اشتباه به عنوان دسترسی محلی قابل اعتماد در نظر گرفته می‌شد و امکان کنترل غیرمجاز را فراهم می‌کرد.

    وقتی عوامل هوش مصنوعی به پروکسی‌های حمله تبدیل می‌شوند

    عامل‌های Moltbot از استقلال عملیاتی برخوردارند. آن‌ها می‌توانند از طرف کاربران پیام ارسال کنند، در پلتفرم‌های پیام‌رسان اصلی تعامل داشته باشند، ابزارها را اجرا کنند و دستوراتی را اجرا کنند. این امر در صورت دسترسی غیرمجاز، خطرات شدیدی را ایجاد می‌کند.

    • عوامل آسیب‌پذیر می‌توانند برای موارد زیر مورد سوءاستفاده قرار گیرند:
    • جعل هویت اپراتورها و تزریق پیام به مکالمات خصوصی
    • خروجی‌ها و گردش‌های کاری عامل را دستکاری کنید
    • استخراج داده‌های حساس به صورت نامحسوس
    • توزیع «مهارت‌های» مخرب یا دارای در پشتی از طریق MoltHub (که قبلاً ClawdHub نام داشت) و فعال کردن حملات به سبک زنجیره تأمین

    پیکربندی‌های نادرست گسترده، شرایط مساعدی را برای نشت اطلاعات کاربری، سوءاستفاده از تزریق سریع و سناریوهای نفوذ بین ابری ایجاد کرده‌اند.

    یک نقطه ضعف معماری

    در هسته این مشکل، فلسفه معماری Moltbot نهفته است. این پلتفرم، استقرار بدون اصطکاک را بر پیش‌فرض‌های سخت‌گیرانه اولویت می‌دهد. کاربران می‌توانند به سرعت سرویس‌های حساس سازمانی را بدون نیاز به فایروال اجباری، اعتبارسنجی اعتبارنامه یا سندباکس افزونه، ادغام کنند.

    متخصصان امنیتی هشدار می‌دهند که دسترسی عمیق Moltbot به سیستم‌های سازمانی، اغلب از طریق دستگاه‌های شخصی مدیریت نشده و خارج از محیط‌های امنیتی سنتی، در صورت پیکربندی نادرست، نقاط کنترل با تأثیر بالا ایجاد می‌کند. عدم وجود sandboxing و ذخیره حافظه بلندمدت و اعتبارنامه‌ها به صورت متن ساده، Moltbot را به یک هدف جذاب تبدیل می‌کند.

    اگر یک مهاجم به دستگاه میزبان نفوذ کند، تکنیک‌های پیشرفته غیرضروری هستند. سارقان اطلاعات مدرن به طور معمول دایرکتوری‌های شناخته شده را برای توکن‌ها، کلیدهای API، گزارش‌ها و داده‌های پیکربندی توسعه‌دهنده جمع‌آوری می‌کنند. وقتی این دارایی‌ها بدون رمزگذاری ذخیره شوند، می‌توانند در عرض چند ثانیه استخراج شوند.

    محققان پیش از این مشاهده کرده‌اند که خانواده‌های بدافزار به عنوان سرویس مانند RedLine، Lumma و Vidar به طور خاص برای هدف قرار دادن ساختارهای دایرکتوری مرتبط با Moltbot سازگار می‌شوند.

    از سرقت داده‌ها تا نفوذ شناختی

    برای اپراتورهای سارق اطلاعات، داده‌های Moltbot چیزی بیش از اعتبارنامه‌ها را نشان می‌دهد. این داده‌ها چیزی را ممکن می‌سازند که محققان آن را «سرقت شناختی زمینه» توصیف می‌کنند. دسترسی به تاریخچه مکالمات، اعلان‌های سیستم و حافظه بلندمدت به دشمنان اجازه می‌دهد نه تنها سیستم‌ها، بلکه هدف عملیاتی را نیز درک کنند.

    اگر مهاجمان همچنین دسترسی نوشتن را به دست آورند، مثلاً از طریق یک تروجان دسترسی از راه دور که در کنار یک دزدگیر مستقر شده است، می‌توانند به ربودن عامل و مسمومیت حافظه، دستکاری نامحسوس رفتار، خروجی‌ها و روابط اعتماد در طول زمان، روی آورند.

    اقدامات فوری کاهش ریسک

    به سازمان‌ها و افرادی که Moltbot را با تنظیمات پیش‌فرض اداره می‌کنند، اکیداً توصیه می‌شود اقدامات دفاعی فوری را انجام دهند:

    • تمام پیکربندی‌ها و سرویس‌های در معرض خطر را بررسی کنید.
    • هر ادغام و اعتبارنامه‌ی مرتبط را لغو و تغییر دهید.
    • سیستم‌ها را برای یافتن نشانه‌های نفوذ بررسی کنید.
    • کنترل‌ها و نظارت‌های دسترسی در سطح شبکه را اعمال کنید.

    بدون اصلاح قاطع، محیط‌های Moltbot همچنان در معرض خطر تصاحب خاموش، سرقت داده‌ها و حملات زنجیره تأمین پایین‌دستی قرار دارند.

    پرطرفدار

    کلاهبرداری ایمیلی حفاظت از امنیت فناوری اطلاعات

    فیشینگ, هرزنامه
    ایمیل‌های غیرمنتظره‌ای که ادعای مسائل امنیتی فوری دارند، باید همیشه با احتیاط بررسی شوند. مجرمان سایبری اغلب از ترس و فوریت برای فریب کاربران و ارتکاب اشتباهات پرهزینه سوءاستفاده می‌کنند. ایمیل‌های موسوم به «حفاظت از امنیت فناوری اطلاعات» نمونه بارزی از این تاکتیک هستند. این پیام‌ها به هیچ شرکت، سازمان یا نهاد قانونی مرتبط نیستند و صرفاً برای فریب گیرندگان و تسلیم اطلاعات حساس طراحی شده‌اند. یک...

    پربیننده ترین

    بد افزار

    فیشینگ, هرزنامه
    26,987
    پیام کلاهبرداری «Apple Pay Suspended» نوعی تاکتیک فیشینگ است که کاربران Apple Pay را هدف قرار می دهد. در این پیام ادعا شده است که کیف پول Apple Pay کاربر به حالت تعلیق درآمده است و از آن‌ها می‌خواهد برای بازیابی آن روی پیوندی کلیک کنند. با این حال، با کلیک بر روی لینک، کاربر به یک وب سایت جعلی هدایت می شود که برای سرقت اطلاعات شخصی و مالی آنها طراحی شده است. اگر کاربر قربانی این طرح شود، عواقب...
    بارگذاری...