Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware Nep Moltbot AI-codeerassistent

Nep Moltbot AI-codeerassistent

Tegen Mezo in Malware
Vertalen naar:

Onderzoekers op het gebied van cyberbeveiliging hebben een kwaadaardige Microsoft Visual Studio Code-extensie ontdekt in de officiële Marketplace. Deze extensie presenteerde zichzelf ten onrechte als een gratis, door AI aangedreven codeerassistent voor Moltbot (voorheen Clawdbot). In plaats van legitieme functionaliteit te bieden, installeerde de extensie stiekem een schadelijke payload op geïnfecteerde systemen.

De extensie, getiteld 'ClawdBot Agent – AI Coding Assistant' (clawdbot.clawdbot-agent), werd op 27 januari 2026 gepubliceerd door een gebruiker met de naam 'clawdbot'. Microsoft heeft deze extensie inmiddels verwijderd uit de Marketplace. Kwaadwillenden maakten misbruik van de snelle populariteitstoename van Moltbot om nietsvermoedende ontwikkelaars te verleiden een tool te installeren die Moltbot zelf officieel niet aanbiedt.

Waarom Moltbot een aantrekkelijk aas was

Moltbot heeft op GitHub meer dan 85.000 sterren behaald, dankzij de belofte van een lokaal gehoste persoonlijke AI-assistent die gebruikmaakt van grote taalmodellen. Het platform maakt interactie mogelijk via bekende diensten zoals WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat en webgebaseerde chatclients.

Een cruciaal punt dat vaak over het hoofd wordt gezien, is dat Moltbot geen legitieme VS Code-extensie heeft. Aanvallers hebben van dit hiaat gebruikgemaakt door een namaakplug-in te introduceren die naadloos in het ontwikkelaarsecosysteem moest opgaan.

Van IDE-opstarten tot volledige bediening op afstand

Na installatie werd de kwaadwillige extensie automatisch uitgevoerd telkens wanneer VS Code werd gestart. De extensie haalde een extern config.json-bestand op van clawdbot.getintwopc.site, dat de extensie instrueerde om een binair bestand genaamd Code.exe uit te voeren. Dit uitvoerbare bestand installeerde een legitieme tool voor toegang op afstand: ConnectWise ScreenConnect.

De geïnstalleerde ScreenConnect-client maakte vervolgens verbinding met meeting.bulletmailer.net:8041, waardoor aanvallers permanente, interactieve toegang op afstand kregen tot de geïnfecteerde machine.

Redundante levering en veerkrachttactieken

De aanvallers beheerden hun eigen ScreenConnect-relaisinfrastructuur en verspreidden een vooraf geconfigureerde client via de extensie. Meerdere terugvalmechanismen zorgden ervoor dat de payload werd afgeleverd, zelfs als de primaire commando- en controlekanalen uitvielen.

Deze omvatten:

  • Het ophalen en sideloaden van een kwaadaardige, op Rust gebaseerde DLL (DWrite.dll) waarnaar wordt verwezen in config.json, waarmee de ScreenConnect-client van Dropbox kan worden gedownload.
  • DLL-sideloading via Code.exe, waarbij de kwaadaardige bibliotheek bij voorkeur wordt geladen wanneer deze in dezelfde map wordt geplaatst.
  • In de extensie zijn hardgecodeerde URL's opgenomen die verwijzen naar alternatieve downloadlocaties.
  • Een op batchscripts gebaseerde back-upmethode die payloads verkrijgt van darkgptprivate.com.

Een nadere analyse wijst uit dat de aanvallers operationele storingen hadden voorzien, aangezien verschillende mechanismen onbetrouwbaar waren maar wel gelaagd om persistentie te garanderen.

Het grotere risico: onveilige Moltbot-implementaties

Naast de kwaadaardige extensie ontdekten onderzoekers honderden niet-geauthenticeerde Moltbot-instanties online. Deze waren het gevolg van een klassieke verkeerde configuratie van een reverse-proxy, waardoor configuratiebestanden, API-sleutels, OAuth-gegevens en privéchatgeschiedenissen openbaar werden.

De fout ontstond doordat Moltbot automatisch 'lokale' verbindingen goedkeurde in combinatie met implementaties achter reverse proxies. Verkeer afkomstig van het internet werd ten onrechte behandeld als vertrouwde lokale toegang, waardoor ongeautoriseerde controle mogelijk werd.

Wanneer AI-agenten aanvalsproxy’s worden

Moltbot-agenten beschikken over operationele autonomie. Ze kunnen namens gebruikers berichten versturen, communiceren via de belangrijkste berichtenplatformen, tools uitvoeren en commando's draaien. Dit brengt ernstige risico's met zich mee als er ongeautoriseerde toegang wordt verkregen.

  • Gecompromitteerde agenten kunnen worden misbruikt om:
  • Doe je voor als een operator en voeg berichten toe aan privégesprekken.
  • Manipuleer de uitvoer en workflows van agenten.
  • Gevoelige gegevens onzichtbaar exfiltreren
  • Verspreid kwaadaardige of van een backdoor voorziene 'vaardigheden' via MoltHub (voorheen ClawdHub), waardoor aanvallen in de stijl van de toeleveringsketen mogelijk worden.

Door wijdverspreide verkeerde configuraties zijn er al omstandigheden ontstaan die de weg vrijmaken voor het lekken van inloggegevens, misbruik van prompt-injectie en compromitteringsscenario's tussen verschillende cloudomgevingen.

Een architectonisch zwak punt

De kern van het probleem ligt in de architectuurfilosofie van Moltbot. Het platform geeft prioriteit aan een probleemloze implementatie boven strenge standaardinstellingen. Gebruikers kunnen snel gevoelige bedrijfsdiensten integreren zonder verplichte firewalls, authenticatie van inloggegevens of het isoleren van plug-ins.

Beveiligingsdeskundigen waarschuwen dat Moltbot, door zijn diepgaande toegang tot bedrijfssystemen vaak vanaf onbeheerde persoonlijke apparaten buiten traditionele beveiligingsperimeters, bij verkeerde configuratie zeer kwetsbare controlepunten creëert. Het ontbreken van sandboxing en de opslag van langetermijngeheugen en inloggegevens in platte tekst maken Moltbot een bijzonder aantrekkelijk doelwit.

Als een aanvaller de hostmachine weet te compromitteren, zijn geavanceerde technieken niet nodig. Moderne infostealers verzamelen routinematig tokens, API-sleutels, logbestanden en configuratiegegevens van ontwikkelaars uit bekende mappen. Wanneer deze gegevens onversleuteld worden opgeslagen, kunnen ze binnen enkele seconden worden buitgemaakt.

Onderzoekers hebben al geconstateerd dat malware-as-a-service-families zoals RedLine, Lumma en Vidar zich specifiek aanpassen om Moltbot-gerelateerde directorystructuren aan te vallen.

Van datadiefstal tot cognitieve compromittering

Voor infostealers vertegenwoordigen Moltbot-gegevens meer dan alleen inloggegevens. Ze maken wat onderzoekers omschrijven als 'cognitieve contextdiefstal' mogelijk. Toegang tot gespreksgeschiedenissen, systeemmeldingen en langetermijngeheugen stelt tegenstanders in staat om niet alleen systemen, maar ook operationele intenties te begrijpen.

Als aanvallers ook schrijftoegang verkrijgen, bijvoorbeeld via een remote access trojan die samen met een stealer wordt ingezet, kunnen ze overgaan tot het kapen van agents en het manipuleren van het geheugen, waardoor ze in de loop van de tijd op subtiele wijze gedrag, output en vertrouwensrelaties beïnvloeden.

Onmiddellijke risicobeperkende maatregelen

Organisaties en individuen die Moltbot met de standaardinstellingen gebruiken, wordt ten zeerste aangeraden onmiddellijk preventieve maatregelen te nemen:

  • Controleer alle configuraties en beschikbare services.
  • Trek alle gekoppelde integraties en inloggegevens in en vervang ze.
  • Controleer systemen op tekenen van inbreuk.
  • Handhaaf toegangscontroles en monitoring op netwerkniveau.

Zonder doortastende maatregelen blijven Moltbot-omgevingen zeer kwetsbaar voor stille overnames, het stelen van gegevens en aanvallen op de toeleveringsketen.

Trending

Meest bekeken

Bezig met laden...