עוזר קידוד בינה מלאכותית של מולבוט מזויף
חוקרי אבטחת סייבר זיהו תוסף זדוני של Microsoft Visual Studio Code ב-Marketplace הרשמי, שפרסם את עצמו באופן שקרי כעוזר קידוד חינמי המופעל על ידי בינה מלאכותית עבור Moltbot (לשעבר Clawdbot). במקום לספק פונקציונליות לגיטימית, התוסף פרס בשקט מטען מזיק על מערכות שנפרצו.
ההרחבה, שכותרתה 'ClawdBot Agent – AI Coding Assistant' (clawdbot.clawdbot-agent), פורסמה ב-27 בינואר 2026, על ידי משתמש בשם 'clawdbot'. מיקרוסופט הסירה אותה מאז מהמרקטפלייס. גורמי איום ניצלו את העלייה המהירה בפופולריות של Moltbot כדי לפתות מפתחים תמימים להתקין כלי ש-Moltbot עצמה אינה מציעה רשמית.
תוכן העניינים
למה מולבוט היה פיתיון אטרקטיבי
Moltbot זינקה מעבר ל-85,000 כוכבים ב-GitHub, בהתבסס על הבטחתה לעוזר אישי מבוסס בינה מלאכותית המתארח באופן מקומי ומופעל על ידי מודלים של שפה גדולה. הפלטפורמה מאפשרת אינטראקציה באמצעות שירותים מוכרים כמו WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat ולקוחות צ'אט מבוססי אינטרנט.
נקודה קריטית שלעתים קרובות מתעלמים ממנה היא של-Moltbot אין סיומת VS Code לגיטימית. תוקפים ניצלו את הפער הזה על ידי החדרת תוסף מזויף שנועד להשתלב בצורה חלקה במערכת האקולוגית של המפתחים.
מהשקת IDE ועד לשליטה מרחוק מלאה
לאחר ההתקנה, התוסף הזדוני פעל אוטומטית בכל פעם ש-VS Code הופעל. הוא אחזור קובץ config.json מרוחק מ-clawdbot.getintwopc.site, שהורה לתוסף להריץ קובץ בינארי בשם Code.exe. קובץ זה פרס כלי גישה מרחוק לגיטימי: ConnectWise ScreenConnect.
לאחר מכן, לקוח ScreenConnect שהותקן התחבר אל meeting.bulletmailer.net:8041, וסיפק לתוקפים גישה מרחוק אינטראקטיבית ומתמשכת למחשב הנגוע.
טקטיקות אספקה וחוסן מיותרות
התוקפים הפעילו תשתית ממסר ScreenConnect משלהם, וחילקו לקוח מוגדר מראש דרך ההרחבה. מנגנוני גיבוי מרובים הבטיחו אספקת מטען גם אם ערוצי הפיקוד והבקרה העיקריים נכשלו.
אלה כללו:
- אחזור וטעינה צדדית של קובץ DLL זדוני מבוסס Rust (DWrite.dll) שאליו מתייחסים ב-config.json, המסוגל להוריד את לקוח ScreenConnect מדרופבוקס.
- טעינה צדדית של קובץ DLL דרך Code.exe, אשר תטען באופן מועדף את הספרייה הזדונית כאשר היא ממוקמת באותה ספרייה.
- כתובות URL מקודדות בקפידה בתוך התוסף המכוונות למיקומי הורדה חלופיים.
ניתוח מעמיק יותר מצביע על כך שהתוקפים צפו כשלים תפעוליים, מכיוון שמספר מנגנונים היו לא אמינים אך היו מורכבים משכבות שונות לצורך עמידות.
החשיפה הגדולה יותר: פריסות מולבוט לא מאובטחות
מעבר להרחבה הזדונית, חוקרים גילו מאות מופעים לא מאומתים של Moltbot ברשת. אלה היו תוצאה של שגיאת תצורה קלאסית של reverse-proxy שחשפה קבצי תצורה, מפתחות API, אישורי OAuth והיסטוריית צ'אט פרטית.
הפגם נבע מאישור אוטומטי של חיבורים 'מקומיים' על ידי Moltbot בשילוב עם פריסות מאחורי פרוקסי הפוך. תעבורה שמקורה באינטרנט טופלה בטעות כגישה מקומית מהימנה, מה שאפשר שליטה לא מאומתת.
כאשר סוכני בינה מלאכותית הופכים לשרתים מתקפים
לסוכני מולבוט יש אוטונומיה תפעולית. הם יכולים לשלוח הודעות בשם משתמשים, לקיים אינטראקציה בין פלטפורמות העברת הודעות מרכזיות, להפעיל כלים ולהפעיל פקודות. זה מציג סיכונים חמורים אם מתקבלת גישה בלתי מורשית.
- ניתן להשתמש לרעה בסוכנים שנפגעו כדי:
- התחזות למפעילים והכנסת הודעות לשיחות פרטיות
- מניפולציה של פלט וזרימות עבודה של סוכנים
- לחלץ נתונים רגישים באופן בלתי נראה
- הפצת "מיומנויות" זדוניות או חדירות דרך MoltHub (לשעבר ClawdHub), מה שמאפשר התקפות בסגנון שרשרת האספקה
שגויות תצורה נרחבות כבר יצרו תנאים בשלים לדליפת אישורים, שימוש לרעה בהזרקה מיידית ותרחישי פשרה בין-עננים.
נקודת תורפה אדריכלית
בלב הבעיה טמונה הפילוסופיה הארכיטקטונית של Moltbot. הפלטפורמה נותנת עדיפות לפריסה חלקה על פני ברירות מחדל קשות. משתמשים יכולים לשלב במהירות שירותים ארגוניים רגישים ללא צורך בהגנה מפני אש, אימות אישורים או ארגז חול של תוספים.
אנשי מקצוע בתחום האבטחה מזהירים כי הגישה העמוקה של מולבוט למערכות ארגוניות, לרוב ממכשירים אישיים לא מנוהלים מחוץ לגבולות האבטחה המסורתיים, יוצרת נקודות בקרה בעלות השפעה גבוהה כאשר הן מוגדרות בצורה שגויה. היעדר ארגז חול ואחסון זיכרון לטווח ארוך ופרטי גישה בטקסט רגיל הופכים את מולבוט למטרה אטרקטיבית במיוחד.
אם תוקף מפריע למחשב המארח, טכניקות מתקדמות אינן נחוצות. גנבי מידע מודרניים אוספים באופן שגרתי ספריות ידועות עבור טוקנים, מפתחות API, יומני רישום ונתוני תצורה של מפתחים. כאשר נכסים אלה מאוחסנים ללא הצפנה, ניתן לחסל אותם תוך שניות.
חוקרים כבר צפו במשפחות של תוכנות זדוניות כשירות כגון RedLine, Lumma ו-Vidar, כשהן מסתגלות במיוחד למבני ספריות הקשורים ל-Moltbot.
מגניבת נתונים לפשרה קוגניטיבית
עבור מפעילי גנבי מידע, נתוני Moltbot מייצגים יותר מאשר אישורים. הם מאפשרים את מה שחוקרים מתארים כ"גניבת הקשר קוגניטיבית". גישה להיסטוריית שיחות, הנחיות מערכת וזיכרון לטווח ארוך מאפשרת ליריבים להבין לא רק מערכות, אלא גם כוונות מבצעיות.
אם תוקפים מקבלים גם גישת כתיבה, כגון באמצעות טרויאן לגישה מרחוק שנפרס לצד סוס גונב, הם עלולים להסלים לחטיפת סוכנים והרעלת זיכרון, תוך מניפולציה עדינה של התנהגות, פלטים ויחסי אמון לאורך זמן.
אמצעים מיידיים להפחתת סיכונים
מומלץ מאוד לארגונים ולאנשים המפעילים את Moltbot עם הגדרות ברירת מחדל לנקוט בפעולה הגנתית מיידית:
- ביקורת על כל התצורות והשירותים החשופים.
- בטל וסובב כל אינטגרציה ואישור מחוברים.
- סקור מערכות לאיתור סימנים של פגיעה.
- אכיפת בקרות גישה וניטור ברמת הרשת.
ללא תיקון החלטי, סביבות מולבוט נותרות פגיעות מאוד להשתלטות שקטה, גניבת נתונים והתקפות בשרשרת האספקה במורד הזרם.
