가짜 Moltbot AI 코딩 도우미

사이버 보안 연구원들은 마이크로소프트 비주얼 스튜디오 코드 공식 마켓플레이스에서 Moltbot(이전 Clawdbot)용 무료 AI 기반 코딩 도우미라고 허위 광고하는 악성 확장 프로그램을 발견했습니다. 이 확장 프로그램은 정상적인 기능을 제공하는 대신, 감염된 시스템에 악성 페이로드를 몰래 배포했습니다.

'ClawdBot Agent – AI Coding Assistant'(clawdbot.clawdbot-agent)라는 이름의 확장 프로그램은 'clawdbot'이라는 사용자가 2026년 1월 27일에 게시했습니다. 마이크로소프트는 이후 해당 확장 프로그램을 마켓플레이스에서 삭제했습니다. 공격자들은 Moltbot의 급격한 인기를 악용하여 Moltbot이 공식적으로 제공하지 않는 도구를 설치하도록 개발자들을 유인했습니다.

몰트봇이 매력적인 미끼였던 이유

Moltbot은 대규모 언어 모델을 기반으로 로컬에서 실행되는 개인 AI 비서라는 장점을 앞세워 GitHub에서 8만 5천 개 이상의 스타를 획득하며 큰 인기를 얻고 있습니다. 이 플랫폼은 WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat 및 웹 기반 채팅 클라이언트와 같은 익숙한 서비스를 통해 상호 작용을 지원합니다.

자주 간과되는 중요한 점은 Moltbot에 정식 VS Code 확장 프로그램이 없다는 것입니다. 공격자들은 개발자 생태계에 완벽하게 녹아들도록 설계된 가짜 플러그인을 도입하여 이러한 허점을 악용했습니다.

IDE 실행부터 완벽한 원격 제어까지

설치 후 악성 확장 프로그램은 VS Code가 실행될 때마다 자동으로 실행되었습니다. 이 확장 프로그램은 clawdbot.getintwopc.site에서 원격 config.json 파일을 가져와 Code.exe라는 실행 파일을 실행하도록 지시했습니다. 이 실행 파일은 ConnectWise ScreenConnect라는 합법적인 원격 접속 도구를 배포했습니다.

설치된 ScreenConnect 클라이언트는 meeting.bulletmailer.net:8041에 연결되어 공격자에게 감염된 컴퓨터에 대한 지속적이고 상호 작용적인 원격 액세스 권한을 제공했습니다.

중복 배송 및 복원력 전략

공격자들은 자체적인 ScreenConnect 릴레이 인프라를 운영하며, 확장 프로그램을 통해 사전 구성된 클라이언트를 배포했습니다. 여러 대체 메커니즘을 통해 주요 명령 및 제어 채널이 실패하더라도 페이로드 전달이 보장되었습니다.

여기에는 다음이 포함됩니다:

• config.json에 참조된 Rust 기반 악성 DLL(DWrite.dll)을 검색 및 사이드 로딩하여 Dropbox에서 ScreenConnect 클라이언트를 다운로드할 수 있습니다.
• Code.exe를 통한 DLL 사이드 로딩은 악성 라이브러리가 동일 디렉터리에 있을 경우 해당 라이브러리를 우선적으로 로드합니다.
• 확장 프로그램 내에 다운로드 위치를 가리키는 하드코딩된 URL이 있습니다.

심층 분석 결과, 공격자들은 운영상의 실패를 예상했던 것으로 나타났습니다. 여러 메커니즘이 신뢰할 수 없으면서도 지속성을 위해 다층적으로 구축되어 있었기 때문입니다.

더 큰 문제점: 불안정한 Moltbot 배포

악성 확장 프로그램 외에도 연구원들은 온라인에서 수백 개의 인증되지 않은 Moltbot 인스턴스를 발견했습니다. 이는 구성 파일, API 키, OAuth 자격 증명 및 개인 채팅 기록이 노출되는 전형적인 역방향 프록시 구성 오류로 인해 발생한 결과였습니다.

이 결함은 Moltbot이 '로컬' 연결을 자동으로 승인하는 기능과 리버스 프록시 뒤에 배포되는 방식이 결합된 데서 비롯되었습니다. 인터넷에서 시작된 트래픽이 신뢰할 수 있는 로컬 액세스로 잘못 처리되어 인증되지 않은 제어가 가능해졌습니다.

AI 에이전트가 공격 대리인이 될 때

Moltbot 에이전트는 운영 자율성을 가지고 있습니다. 사용자를 대신하여 메시지를 보내고, 주요 메시징 플랫폼에서 상호 작용하며, 도구를 실행하고, 명령을 실행할 수 있습니다. 따라서 무단 접근이 발생할 경우 심각한 위험이 따릅니다.

• 손상된 에이전트는 다음과 같은 용도로 악용될 수 있습니다.
• 운영자를 사칭하여 개인 대화에 메시지를 삽입하세요.
• 에이전트 출력 및 워크플로를 조작합니다.
• 민감한 데이터를 눈에 띄지 않게 유출하세요
• MoltHub(이전 ClawdHub)를 통해 악성 또는 백도어가 포함된 '스킬'을 배포하여 공급망 공격을 가능하게 합니다.

광범위한 잘못된 구성으로 인해 자격 증명 유출, 프롬프트 주입 악용 및 클라우드 간 침해 시나리오가 발생하기 쉬운 환경이 이미 조성되었습니다.

건축적 약점

문제의 핵심은 Moltbot의 아키텍처 철학에 있습니다. 이 플랫폼은 강화된 기본 설정보다 원활한 배포를 우선시합니다. 사용자는 방화벽 설정, 자격 증명 검증 또는 플러그인 샌드박싱 없이도 중요한 엔터프라이즈 서비스를 신속하게 통합할 수 있습니다.

보안 전문가들은 Moltbot이 기존 보안 경계 외부의 관리되지 않는 개인 기기에서 기업 시스템에 깊숙이 접근할 수 있다는 점을 경고하며, 잘못 구성될 경우 심각한 보안 취약점을 만들 수 있다고 지적합니다. 샌드박싱 환경이 없고, 장기 저장 장치와 자격 증명을 평문으로 저장하는 특성 때문에 Moltbot은 특히 매력적인 공격 대상이 됩니다.

공격자가 호스트 시스템을 침해하는 경우, 고급 기술은 필요하지 않습니다. 최신 정보 탈취 공격자들은 토큰, API 키, 로그, 개발자 구성 데이터 등을 얻기 위해 알려진 디렉터리를 일상적으로 수집합니다. 이러한 자산이 암호화되지 않은 상태로 저장되어 있으면 몇 초 만에 유출될 수 있습니다.

연구원들은 이미 RedLine, Lumma, Vidar와 같은 서비스형 악성코드(malware-as-a-service) 계열이 Moltbot 관련 디렉터리 구조를 표적으로 삼도록 특별히 변형되는 것을 관찰했습니다.

데이터 도난부터 인지 능력 저하까지

정보 탈취범들에게 Moltbot 데이터는 단순한 자격 증명 이상의 의미를 지닙니다. 연구자들이 '인지적 맥락 탈취'라고 부르는 행위를 가능하게 하기 때문입니다. 대화 기록, 시스템 메시지, 장기 기억에 접근함으로써 공격자는 시스템뿐 아니라 운영 의도까지 파악할 수 있습니다.

공격자가 스틸러와 함께 배포된 원격 액세스 트로이목마 등을 통해 쓰기 권한까지 획득하면 에이전트 하이재킹 및 메모리 오염으로 이어져 시간이 지남에 따라 동작, 출력 및 신뢰 관계를 미묘하게 조작할 수 있습니다.

즉각적인 위험 완화 조치

Moltbot을 기본 설정으로 운영하는 조직 및 개인은 즉시 방어 조치를 취할 것을 강력히 권고합니다.

• 모든 구성 및 노출된 서비스를 감사합니다.
• 연결된 모든 통합 및 자격 증명을 취소하고 교체하십시오.
• 시스템에서 침해 징후를 검토하십시오.
• 네트워크 수준의 접근 제어 및 모니터링을 시행하십시오.

결정적인 조치가 취해지지 않으면 Moltbot 환경은 은밀한 장악, 데이터 유출 및 하위 공급망 공격에 매우 취약한 상태로 남아 있습니다.