Oferta rabatowa na wiele licencji
Baza danych zagrożeń Złośliwe oprogramowanie Fałszywy asystent kodowania AI Moltbota

Fałszywy asystent kodowania AI Moltbota

Do Mezo w Złośliwe oprogramowanie
Przetłumacz na:

Badacze cyberbezpieczeństwa zidentyfikowali złośliwe rozszerzenie Microsoft Visual Studio Code w oficjalnym Marketplace, które fałszywie reklamowało się jako darmowy asystent kodowania oparty na sztucznej inteligencji dla Moltbota (dawniej Clawdbota). Zamiast oferować legalną funkcjonalność, rozszerzenie po cichu instalowało szkodliwy kod w zainfekowanych systemach.

Rozszerzenie o nazwie „ClawdBot Agent – AI Coding Assistant” (clawdbot.clawdbot-agent) zostało opublikowane 27 stycznia 2026 roku przez użytkownika o nazwie „clawdbot”. Firma Microsoft usunęła je od tego czasu z Marketplace. Aktorzy wykorzystujący gwałtowny wzrost popularności Moltbota, skłonili niczego niepodejrzewających programistów do zainstalowania narzędzia, którego sam Moltbot oficjalnie nie oferuje.

Dlaczego Moltbot był atrakcyjną przynętą

Moltbot przekroczył 85 000 gwiazdek na GitHubie, napędzany obietnicą hostowanego lokalnie osobistego asystenta AI, opartego na rozbudowanych modelach językowych. Platforma umożliwia interakcję za pośrednictwem znanych usług, takich jak WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat oraz internetowych klientów czatu.

Często pomijanym istotnym punktem jest to, że Moltbot nie posiada legalnego rozszerzenia VS Code. Atakujący wykorzystali tę lukę, wprowadzając fałszywą wtyczkę, która miała płynnie wtopić się w ekosystem programistów.

Od uruchomienia IDE do pełnej kontroli zdalnej

Po zainstalowaniu, złośliwe rozszerzenie uruchamiało się automatycznie przy każdym uruchomieniu VS Code. Pobierało zdalny plik config.json z clawdbot.getintwopc.site, który instruował rozszerzenie, aby uruchomiło plik binarny o nazwie Code.exe. Ten plik wykonywalny wdrażał legalne narzędzie do zdalnego dostępu: ConnectWise ScreenConnect.

Zainstalowany klient ScreenConnect nawiązał następnie połączenie z meeting.bulletmailer.net:8041, zapewniając atakującym stały, interaktywny zdalny dostęp do zainfekowanej maszyny.

Nadmiarowe dostawy i taktyki odporności

Atakujący korzystali z własnej infrastruktury przekaźnikowej ScreenConnect, dystrybuując wstępnie skonfigurowanego klienta za pośrednictwem rozszerzenia. Liczne mechanizmy awaryjne zapewniały dostarczanie danych nawet w przypadku awarii głównych kanałów poleceń i kontroli.

Należą do nich:

  • Pobranie i załadowanie złośliwego pliku DLL opartego na języku Rust (DWrite.dll) wymienionego w pliku config.json, który umożliwia pobranie klienta ScreenConnect z Dropbox.
  • Pobieranie bibliotek DLL za pośrednictwem Code.exe, co powoduje preferencyjne ładowanie złośliwych bibliotek, jeśli znajdują się one w tym samym katalogu.
  • Zakodowane na stałe w rozszerzeniu adresy URL wskazujące alternatywne lokalizacje pobierania.
  • Metoda tworzenia kopii zapasowych oparta na skryptach wsadowych, pobierająca ładunki z darkgptprivate.com.

Głębsza analiza wskazuje, że atakujący przewidzieli awarie operacyjne, ponieważ niektóre mechanizmy były zawodne, ale za to wielowarstwowe, co zapewniało trwałość.

Większe narażenie: Niezabezpieczone wdrożenia Moltbot

Oprócz złośliwego rozszerzenia, badacze odkryli setki nieuwierzytelnionych instancji Moltbota w sieci. Były one wynikiem klasycznej błędnej konfiguracji odwrotnego serwera proxy, która ujawniła pliki konfiguracyjne, klucze API, dane uwierzytelniające OAuth i prywatne historie czatów.

Błąd wynikał z automatycznego zatwierdzania połączeń „lokalnych” przez Moltbota w połączeniu z wdrożeniami za pośrednictwem odwrotnych serwerów proxy. Ruch pochodzący z Internetu był błędnie traktowany jako zaufany dostęp lokalny, co umożliwiało nieuwierzytelnioną kontrolę.

Kiedy agenci AI stają się proxy ataków

Agenci Moltbot posiadają autonomię operacyjną. Mogą wysyłać wiadomości w imieniu użytkowników, komunikować się na głównych platformach komunikacyjnych, uruchamiać narzędzia i uruchamiać polecenia. Wiąże się to z poważnym ryzykiem w przypadku uzyskania nieautoryzowanego dostępu.

  • Zainfekowani agenci mogą zostać wykorzystani w celu:
  • Podszywanie się pod operatorów i wtrącanie wiadomości do prywatnych rozmów
  • Manipuluj wynikami agentów i przepływami pracy
  • Niewidoczne ujawnianie poufnych danych
  • Dystrybucja złośliwych lub ukrytych „umiejętności” za pośrednictwem MoltHub (dawniej ClawdHub), umożliwiająca ataki na wzór łańcucha dostaw

Powszechne błędne konfiguracje stworzyły już warunki sprzyjające wyciekom danych uwierzytelniających, nadużyciom związanym z wstrzykiwaniem szybkich kodów i scenariuszom kompromitacji między chmurami.

Słaby punkt architektury

Sednem problemu jest filozofia architektoniczna Moltbota. Platforma stawia na bezproblemowe wdrażanie, a nie na sztywne ustawienia domyślne. Użytkownicy mogą szybko integrować wrażliwe usługi korporacyjne bez wymuszonego stosowania zapór sieciowych, weryfikacji uprawnień czy testowania wtyczek.

Specjaliści ds. bezpieczeństwa ostrzegają, że głęboki dostęp Moltbota do systemów korporacyjnych, często z niezarządzanych urządzeń osobistych poza tradycyjnymi obwodami bezpieczeństwa, tworzy punkty kontrolne o dużym wpływie w przypadku nieprawidłowej konfiguracji. Brak piaskownicy oraz przechowywanie pamięci długotrwałej i danych uwierzytelniających w postaci zwykłego tekstu sprawiają, że Moltbot jest szczególnie atrakcyjnym celem.

Jeśli atakujący włamie się do komputera hosta, zaawansowane techniki są zbędne. Współczesne systemy kradzieży informacji rutynowo gromadzą znane katalogi w celu znalezienia tokenów, kluczy API, logów i danych konfiguracyjnych dla programistów. Gdy zasoby te są przechowywane w postaci niezaszyfrowanej, można je wykraść w ciągu kilku sekund.

Badacze zaobserwowali już, że rodziny oprogramowania typu malware-as-a-service, takie jak RedLine, Lumma i Vidar, dostosowują się specjalnie do struktur katalogów powiązanych z Moltbotem.

Od kradzieży danych do kompromisu poznawczego

Dla operatorów kradzieży informacji dane Moltbota to coś więcej niż tylko dane uwierzytelniające. Umożliwiają one to, co badacze określają mianem „kradzieży kontekstu poznawczego”. Dostęp do historii rozmów, komunikatów systemowych i pamięci długotrwałej pozwala adwersarzom zrozumieć nie tylko systemy, ale także intencje operacyjne.

Jeśli atakujący uzyskają również dostęp do zapisu, np. za pośrednictwem trojana umożliwiającego zdalny dostęp zainstalowanego wraz ze złodziejem, mogą posunąć się do przejęcia kontroli nad agentami i zatrucia pamięci, subtelnie manipulując zachowaniem, wynikami i relacjami zaufania w czasie.

Środki natychmiastowego łagodzenia ryzyka

Organizacjom i osobom korzystającym z Moltbota przy użyciu ustawień domyślnych zdecydowanie zaleca się podjęcie natychmiastowych działań obronnych:

  • Przeprowadź audyt wszystkich konfiguracji i udostępnionych usług.
  • Cofnij i obróć każdą podłączoną integrację i poświadczenia.
  • Przejrzyj systemy pod kątem oznak naruszenia.
  • Wdrażanie kontroli dostępu i monitorowania na poziomie sieci.

Bez zdecydowanych działań naprawczych środowiska Moltbot pozostają bardzo podatne na ciche przejęcie kontroli, wykradanie danych i ataki na łańcuch dostaw.

Popularne

Oszustwo związane z ochroną bezpieczeństwa IT za...

Phishing, Spam
Nieoczekiwane e-maile z doniesieniami o pilnych problemach bezpieczeństwa należy zawsze traktować z ostrożnością. Cyberprzestępcy często wykorzystują strach i poczucie pilności, aby nakłonić użytkowników do popełnienia kosztownych błędów. Tak zwane e-maile z informacjami o „ochronie bezpieczeństwa IT” są wyraźnym przykładem tej taktyki. Wiadomości te nie są powiązane z żadnymi legalnymi...

Najczęściej oglądane

Ładowanie...