Cotação de desconto para licenças múltiplas
Banco de Dados de Ameaças Malware Assistente de programação de IA falso Moltbot

Assistente de programação de IA falso Moltbot

Por Mezo em Malware
Traduzir Para:

Pesquisadores de cibersegurança identificaram uma extensão maliciosa do Microsoft Visual Studio Code no Marketplace oficial que se anunciava falsamente como um assistente de programação gratuito com inteligência artificial para o Moltbot (anteriormente Clawdbot). Em vez de fornecer funcionalidades legítimas, a extensão implantava silenciosamente um código malicioso em sistemas comprometidos.

A extensão, intitulada 'ClawdBot Agent – AI Coding Assistant' (clawdbot.clawdbot-agent), foi publicada em 27 de janeiro de 2026 por um usuário chamado 'clawdbot'. A Microsoft já a removeu do Marketplace. Os cibercriminosos aproveitaram a rápida ascensão do Moltbot em popularidade para atrair desenvolvedores desavisados a instalar uma ferramenta que o próprio Moltbot não oferece oficialmente.

Por que o Moltbot era uma isca atraente

O Moltbot ultrapassou as 85.000 estrelas no GitHub, impulsionado pela sua promessa de um assistente pessoal de IA hospedado localmente e baseado em grandes modelos de linguagem. A plataforma permite a interação por meio de serviços conhecidos como WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat e clientes de bate-papo baseados na web.

Um ponto crucial, muitas vezes negligenciado, é que o Moltbot não possui uma extensão legítima para o VS Code. Os atacantes exploraram essa lacuna introduzindo um plugin falsificado, projetado para se integrar perfeitamente ao ecossistema de desenvolvedores.

Do lançamento da IDE ao controle remoto total

Uma vez instalada, a extensão maliciosa era executada automaticamente sempre que o VS Code era iniciado. Ela obtinha um arquivo config.json remoto do site clawdbot.getintwopc.site, que instruía a extensão a executar um binário chamado Code.exe. Esse executável implantava uma ferramenta legítima de acesso remoto: ConnectWise ScreenConnect.

O cliente ScreenConnect instalado conectou-se então a meeting.bulletmailer.net:8041, fornecendo aos atacantes acesso remoto persistente e interativo à máquina infectada.

Táticas redundantes de entrega e resiliência

Os atacantes operavam sua própria infraestrutura de retransmissão ScreenConnect, distribuindo um cliente pré-configurado através da extensão. Múltiplos mecanismos de contingência garantiam a entrega da carga útil mesmo se os canais primários de comando e controle falhassem.

Isso incluía:

  • Recuperação e carregamento lateral de uma DLL maliciosa baseada em Rust (DWrite.dll) referenciada no arquivo config.json, capaz de baixar o cliente ScreenConnect do Dropbox.
  • O carregamento lateral de DLLs através do Code.exe, que carregaria preferencialmente a biblioteca maliciosa quando colocada no mesmo diretório.
  • URLs codificadas diretamente na extensão, apontando para locais de download alternativos.
  • Um método de backup baseado em script em lote que obtém payloads do site darkgptprivate.com.

Uma análise mais aprofundada indica que os atacantes previram falhas operacionais, visto que vários mecanismos eram pouco confiáveis, embora estruturados em camadas para garantir a persistência.

Maior exposição: Implantações inseguras do Moltbot

Além da extensão maliciosa, os pesquisadores descobriram centenas de instâncias não autenticadas do Moltbot online. Essas instâncias foram resultado de uma configuração incorreta clássica de proxy reverso, que expôs arquivos de configuração, chaves de API, credenciais OAuth e históricos de bate-papo privados.

A falha decorria da aprovação automática de conexões "locais" pelo Moltbot, combinada com implantações por trás de proxies reversos. O tráfego originado na Internet era erroneamente tratado como acesso local confiável, permitindo o controle sem autenticação.

Quando agentes de IA se tornam proxies de ataque

Os agentes da Moltbot possuem autonomia operacional. Eles podem enviar mensagens em nome dos usuários, interagir nas principais plataformas de mensagens, executar ferramentas e executar comandos. Isso acarreta sérios riscos caso seja obtido acesso não autorizado.

  • Agentes comprometidos podem ser usados indevidamente para:
  • Fingir ser operador e inserir mensagens em conversas privadas.
  • Manipular saídas e fluxos de trabalho de agentes
  • Exfiltrar dados sensíveis de forma invisível
  • Distribuir 'skills' maliciosas ou com backdoors através do MoltHub (anteriormente ClawdHub), possibilitando ataques no estilo de cadeia de suprimentos.

Configurações incorretas generalizadas já criaram condições propícias para vazamento de credenciais, abuso de injeção de prompts e cenários de comprometimento entre nuvens.

Um ponto fraco arquitetônico

No cerne da questão está a filosofia arquitetônica do Moltbot. A plataforma prioriza a implantação descomplicada em detrimento de configurações padrão rígidas. Os usuários podem integrar rapidamente serviços corporativos sensíveis sem a necessidade de firewalls obrigatórios, validação de credenciais ou isolamento de plugins.

Especialistas em segurança alertam que o acesso profundo do Moltbot a sistemas corporativos, frequentemente a partir de dispositivos pessoais não gerenciados fora dos perímetros de segurança tradicionais, cria pontos de controle de alto impacto quando mal configurados. A ausência de sandbox e o armazenamento de memória de longo prazo e credenciais em texto simples tornam o Moltbot um alvo especialmente atraente.

Se um invasor comprometer a máquina host, técnicas avançadas tornam-se desnecessárias. Os modernos programas de roubo de informações rotineiramente coletam diretórios conhecidos em busca de tokens, chaves de API, logs e dados de configuração de desenvolvedores. Quando esses ativos são armazenados sem criptografia, podem ser extraídos em segundos.

Pesquisadores já observaram famílias de malware como serviço, como RedLine, Lumma e Vidar, se adaptando especificamente para atacar estruturas de diretório relacionadas ao Moltbot.

Do roubo de dados à deterioração cognitiva

Para os operadores de roubo de informações, os dados do Moltbot representam mais do que credenciais. Eles possibilitam o que os pesquisadores descrevem como "roubo de contexto cognitivo". O acesso a históricos de conversas, prompts do sistema e memória de longo prazo permite que os adversários compreendam não apenas os sistemas, mas também a intenção operacional.

Se os atacantes também obtiverem acesso de escrita, por exemplo, por meio de um trojan de acesso remoto implantado juntamente com um ladrão de dados, eles podem escalar para o sequestro de agentes e envenenamento de memória, manipulando sutilmente o comportamento, as saídas e as relações de confiança ao longo do tempo.

Medidas imediatas de mitigação de riscos

Organizações e indivíduos que utilizam o Moltbot com as configurações padrão são fortemente aconselhados a tomar medidas defensivas imediatas:

  • Audite todas as configurações e serviços expostos.
  • Revogar e rotacionar todas as integrações e credenciais conectadas.
  • Analise os sistemas em busca de sinais de comprometimento.
  • Implementar controles de acesso e monitoramento em nível de rede.

Sem medidas corretivas decisivas, os ambientes Moltbot permanecem altamente suscetíveis a ataques silenciosos, roubo de dados e ataques subsequentes à cadeia de suprimentos.

Tendendo

Uma Nova Exploração do VBScript IE Pode Plantar...

Segurança do Computador
Foi recentemente confirmado que os usuários de computador que executam a versão 7 ou 8 do Internet Explorer do Windows XP, estão vulneráveis a uma exploração que pode colocar malware no sistema dos computadores, através de um bug VBScript sem correção. O novo código de ataque que permite que os hackers injetem malware em uma máquina do Windows XP que executa o Internet Explorer 7 ou 8 está...

Mais visto

Carregando...