Preventivo sconto multi-licenza
Database delle minacce Malware Falso assistente di codifica AI Moltbot

Falso assistente di codifica AI Moltbot

Entro Mezo nel Malware
Traduci in:

I ricercatori di sicurezza informatica hanno identificato un'estensione dannosa per Microsoft Visual Studio Code sul Marketplace ufficiale, che si pubblicizzava falsamente come un assistente di programmazione gratuito basato sull'intelligenza artificiale per Moltbot (precedentemente Clawdbot). Invece di fornire funzionalità legittime, l'estensione distribuiva silenziosamente un payload dannoso sui sistemi compromessi.

L'estensione, denominata "ClawdBot Agent – AI Coding Assistant" (clawdbot.clawdbot-agent), è stata pubblicata il 27 gennaio 2026 da un utente di nome "clawdbot". Microsoft l'ha successivamente rimossa dal Marketplace. Gli autori della minaccia hanno sfruttato la rapida ascesa di popolarità di Moltbot per indurre gli sviluppatori ignari a installare uno strumento che Moltbot stesso non offre ufficialmente.

Perché Moltbot era un’esca attraente

Moltbot ha superato le 85.000 stelle su GitHub, spinta dalla promessa di un assistente personale basato su intelligenza artificiale ospitato localmente e basato su modelli linguistici di grandi dimensioni. La piattaforma consente l'interazione tramite servizi familiari come WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat e client di chat basati sul web.

Un punto critico spesso trascurato è che Moltbot non ha un'estensione VS Code legittima. Gli aggressori hanno sfruttato questa lacuna introducendo un plugin contraffatto progettato per integrarsi perfettamente nell'ecosistema degli sviluppatori.

Dall’avvio IDE al controllo remoto completo

Una volta installata, l'estensione dannosa veniva eseguita automaticamente ogni volta che VS Code veniva avviato. Recuperava un file config.json remoto da clawdbot.getintwopc.site, che indicava all'estensione di eseguire un file binario chiamato Code.exe. Questo eseguibile distribuiva uno strumento di accesso remoto legittimo: ConnectWise ScreenConnect.

Il client ScreenConnect installato si è quindi connesso a meeting.bulletmailer.net:8041, fornendo agli aggressori un accesso remoto interattivo e persistente alla macchina infetta.

Tattiche di consegna ridondanti e resilienza

Gli aggressori gestivano la propria infrastruttura di relay ScreenConnect, distribuendo un client preconfigurato tramite l'estensione. Diversi meccanismi di fallback garantivano la distribuzione del payload anche in caso di guasto dei canali di comando e controllo primari.

Tra questi:

  • Recupero e caricamento laterale di una DLL dannosa basata su Rust (DWrite.dll) a cui si fa riferimento in config.json, in grado di scaricare il client ScreenConnect da Dropbox.
  • Caricamento laterale della DLL tramite Code.exe, che caricherà preferibilmente la libreria dannosa se inserita nella stessa directory.
  • URL hard-coded all'interno dell'estensione che puntano a percorsi di download alternativi.
  • Un metodo di backup basato su script batch che recupera i payload da darkgptprivate.com.

Un'analisi più approfondita indica che gli aggressori avevano previsto fallimenti operativi, poiché diversi meccanismi erano inaffidabili ma stratificati per la persistenza.

L’esposizione più ampia: distribuzioni Moltbot non sicure

Oltre all'estensione dannosa, i ricercatori hanno scoperto online centinaia di istanze di Moltbot non autenticate. Queste erano il risultato di una classica configurazione errata del reverse proxy che esponeva file di configurazione, chiavi API, credenziali OAuth e cronologie di chat private.

La falla derivava dall'approvazione automatica delle connessioni "locali" da parte di Moltbot, combinata con distribuzioni basate su proxy inversi. Il traffico proveniente da Internet veniva erroneamente trattato come accesso locale attendibile, consentendo un controllo non autenticato.

Quando gli agenti di intelligenza artificiale diventano proxy di attacco

Gli agenti Moltbot possiedono autonomia operativa. Possono inviare messaggi per conto degli utenti, interagire sulle principali piattaforme di messaggistica, eseguire strumenti ed eseguire comandi. Ciò comporta gravi rischi in caso di accesso non autorizzato.

  • Gli agenti compromessi possono essere utilizzati impropriamente per:
  • Impersonare gli operatori e inserire messaggi nelle conversazioni private
  • Manipolare gli output e i flussi di lavoro degli agenti
  • Esfiltrare dati sensibili in modo invisibile
  • Distribuire "competenze" dannose o backdoor tramite MoltHub (precedentemente ClawdHub), consentendo attacchi in stile supply chain

Errori di configurazione diffusi hanno già creato le condizioni ideali per la fuga di credenziali, l'abuso di prompt injection e scenari di compromissione cross-cloud.

Un punto debole architettonico

Al centro del problema c'è la filosofia architetturale di Moltbot. La piattaforma privilegia un'implementazione senza intoppi rispetto a impostazioni predefinite consolidate. Gli utenti possono integrare rapidamente servizi aziendali sensibili senza dover ricorrere a firewalling, convalida delle credenziali o sandboxing dei plugin.

Gli esperti di sicurezza avvertono che l'accesso approfondito di Moltbot ai sistemi aziendali, spesso da dispositivi personali non gestiti al di fuori dei tradizionali perimetri di sicurezza, crea punti di controllo ad alto impatto in caso di configurazione errata. L'assenza di sandbox e l'archiviazione della memoria a lungo termine e delle credenziali in chiaro rendono Moltbot un bersaglio particolarmente allettante.

Se un aggressore compromette la macchina host, le tecniche avanzate non sono necessarie. I moderni infostealer raccolgono regolarmente directory note per recuperare token, chiavi API, log e dati di configurazione degli sviluppatori. Quando queste risorse vengono archiviate in chiaro, possono essere esfiltrate in pochi secondi.

I ricercatori hanno già osservato famiglie di malware-as-a-service come RedLine, Lumma e Vidar adattarsi specificamente per colpire le strutture di directory correlate a Moltbot.

Dal furto di dati alla compromissione cognitiva

Per gli operatori di infostealer, i dati di Moltbot rappresentano più di semplici credenziali. Consentono quello che i ricercatori descrivono come "furto di contesto cognitivo". L'accesso alla cronologia delle conversazioni, ai prompt di sistema e alla memoria a lungo termine consente agli aggressori di comprendere non solo i sistemi, ma anche l'intento operativo.

Se gli aggressori ottengono anche l'accesso in scrittura, ad esempio tramite un trojan di accesso remoto distribuito insieme a uno stealer, possono passare al dirottamento dell'agente e all'avvelenamento della memoria, manipolando in modo subdolo il comportamento, gli output e le relazioni di fiducia nel tempo.

Misure immediate di mitigazione del rischio

Si consiglia vivamente alle organizzazioni e ai singoli individui che utilizzano Moltbot con le impostazioni predefinite di adottare immediatamente misure difensive:

  • Controllare tutte le configurazioni e i servizi esposti.
  • Revoca e ruota ogni integrazione e credenziale connessa.
  • Esaminare i sistemi per individuare eventuali segnali di compromissione.
  • Applicare controlli e monitoraggio degli accessi a livello di rete.

Senza una soluzione decisa, gli ambienti Moltbot restano altamente vulnerabili ad attacchi silenziosi, sottrazione di dati e attacchi alla supply chain a valle.

Tendenza

I più visti

Caricamento in corso...