Поддельный помощник по программированию Moltbot с искусственным интеллектом
Исследователи в области кибербезопасности обнаружили вредоносное расширение Microsoft Visual Studio Code в официальном Marketplace, которое ложно рекламировало себя как бесплатный помощник по программированию на основе искусственного интеллекта для Moltbot (ранее Clawdbot). Вместо предоставления легитимной функциональности расширение незаметно развертывало вредоносный код на скомпрометированных системах.
Расширение под названием «ClawdBot Agent – AI Coding Assistant» (clawdbot.clawdbot-agent) было опубликовано 27 января 2026 года пользователем под ником «clawdbot». С тех пор Microsoft удалила его из Marketplace. Злоумышленники воспользовались быстрой популярностью Moltbot, чтобы заманить ничего не подозревающих разработчиков к установке инструмента, который сам Moltbot официально не предлагает.
Оглавление
Почему Moltbot был привлекательной приманкой
Проект Moltbot набрал более 85 000 звезд на GitHub, чему способствовало обещание создать локально размещенного персонального ИИ-помощника на основе больших языковых моделей. Платформа позволяет взаимодействовать через такие известные сервисы, как WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat и веб-клиенты для чата.
Важный момент, который часто упускается из виду, заключается в том, что у Moltbot нет легитимного расширения для VS Code. Злоумышленники воспользовались этим пробелом, внедрив поддельный плагин, разработанный для незаметного внедрения в экосистему разработчиков.
От запуска IDE до полного удаленного управления
После установки вредоносное расширение автоматически запускалось при каждом запуске VS Code. Оно получало удаленный файл config.json с сайта clawdbot.getintwopc.site, который давал расширению указание запустить исполняемый файл Code.exe. Этот исполняемый файл развертывал легитимный инструмент удаленного доступа: ConnectWise ScreenConnect.
Установленный клиент ScreenConnect затем подключился к meeting.bulletmailer.net:8041, предоставив злоумышленникам постоянный интерактивный удаленный доступ к зараженному компьютеру.
Избыточные методы доставки и обеспечения отказоустойчивости
Злоумышленники использовали собственную инфраструктуру ретрансляции ScreenConnect, распространяя предварительно настроенный клиент через расширение. Множество резервных механизмов обеспечивали доставку полезной нагрузки даже в случае отказа основных каналов управления.
К ним относятся:
- Получение и установка вредоносной DLL-библиотеки на основе Rust (DWrite.dll), указанной в файле config.json, способной загрузить клиент ScreenConnect из Dropbox.
- Загрузка DLL-файлов осуществляется через Code.exe, который, находясь в том же каталоге, предпочтительно загружает вредоносную библиотеку.
- В расширении жестко закодированы URL-адреса, указывающие на альтернативные места для загрузки.
- Метод резервного копирования на основе пакетных скриптов, получающий полезные нагрузки с сайта darkgptprivate.com.
Более глубокий анализ показывает, что злоумышленники предвидели операционные сбои, поскольку ряд механизмов был ненадежным, но при этом многоуровневым для обеспечения постоянного присутствия в системе.
Более масштабная угроза: небезопасные развертывания Moltbot.
Помимо вредоносного расширения, исследователи обнаружили в сети сотни неаутентифицированных экземпляров Moltbot. Это стало результатом классической ошибки конфигурации обратного прокси-сервера, которая привела к утечке конфигурационных файлов, ключей API, учетных данных OAuth и истории личных чатов.
Уязвимость возникла из-за автоматического одобрения Moltbot «локальных» подключений в сочетании с развертыванием за обратными прокси-серверами. Интернет-трафик ошибочно рассматривался как доверенный локальный доступ, что позволяло осуществлять неаутентифицированный контроль.
Когда агенты ИИ становятся посредниками в атаках
Агенты Moltbot обладают оперативной автономией. Они могут отправлять сообщения от имени пользователей, взаимодействовать на основных платформах обмена сообщениями, запускать инструменты и выполнять команды. Это создает серьезные риски в случае несанкционированного доступа.
- Взломанные агенты могут быть использованы для следующих целей:
- Выдавайте себя за операторов и внедряйте сообщения в личные переписки.
- Управляйте результатами работы агентов и рабочими процессами.
- Незаметно извлекайте конфиденциальные данные.
- Распространение вредоносных или содержащих бэкдоры «навыков» через MoltHub (ранее ClawdHub), что позволяет осуществлять атаки в стиле цепочки поставок.
Широко распространенные ошибки конфигурации уже создали условия, благоприятные для утечки учетных данных, злоупотребления внедрением подсказок и сценариев компрометации данных в разных облачных средах.
Архитектурная слабость
В основе проблемы лежит архитектурная философия Moltbot. Платформа отдает приоритет беспроблемному развертыванию, а не жестким настройкам по умолчанию. Пользователи могут быстро интегрировать конфиденциальные корпоративные сервисы без принудительного использования брандмауэров, проверки учетных данных или изоляции плагинов.
Специалисты по безопасности предупреждают, что глубокий доступ Moltbot к корпоративным системам, часто с неуправляемых персональных устройств, находящихся за пределами традиционных периметров безопасности, создает критически важные точки контроля при неправильной настройке. Отсутствие песочницы и хранение долговременной памяти и учетных данных в открытом виде делают Moltbot особенно привлекательной целью.
Если злоумышленник скомпрометирует хост-машину, сложные методы не понадобятся. Современные специалисты по краже информации регулярно извлекают токены, ключи API, журналы и данные конфигурации разработчиков из известных каталогов. Когда эти ресурсы хранятся в незашифрованном виде, их можно похитить за считанные секунды.
Исследователи уже наблюдали, как семейства вредоносных программ, предоставляющих вредоносное ПО как услугу, такие как RedLine, Lumma и Vidar, адаптируются специально для атаки на структуры каталогов, связанные с Moltbot.
От кражи данных до когнитивных нарушений
Для операторов, занимающихся кражей информации, данные Moltbot представляют собой нечто большее, чем просто учетные данные. Они позволяют осуществлять то, что исследователи называют «когнитивной кражей контекста». Доступ к истории разговоров, системным подсказкам и долговременной памяти позволяет противникам понимать не только системы, но и оперативные намерения.
Если злоумышленники также получают доступ на запись, например, с помощью трояна удаленного доступа, развернутого вместе с программой-похитителем данных, они могут перейти к захвату агента и отравлению памяти, незаметно манипулируя поведением, результатами и отношениями доверия с течением времени.
Незамедлительные меры по снижению рисков
Организациям и частным лицам, использующим Moltbot с настройками по умолчанию, настоятельно рекомендуется незамедлительно принять меры защиты:
- Проведите аудит всех конфигураций и доступных сервисов.
- Отозвать и сменить все подключенные интеграции и учетные данные.
- Проверьте системы на наличие признаков компрометации.
- Внедрить механизмы контроля доступа и мониторинга на уровне сети.
Без принятия решительных мер по устранению проблем среды Moltbot остаются крайне уязвимыми для скрытого захвата, кражи данных и атак на нижестоящие звенья цепочки поставок.
