Лажни Молтбот вештачки асистент за кодирање
Истраживачи сајбер безбедности идентификовали су злонамерно проширење за Microsoft Visual Studio Code на званичном Marketplace-у које се лажно рекламирало као бесплатни асистент за кодирање заснован на вештачкој интелигенцији за Moltbot (раније Clawdbot). Уместо да пружи легитимну функционалност, проширење је тихо распоређивало штетан корисни терет на угрожене системе.
Екстензију под називом „ClawdBot Agent – AI Coding Assistant“ (clawdbot.clawdbot-agent) објавио је 27. јануара 2026. године корисник под именом „clawdbot“. Мајкрософт ју је од тада уклонио са Маркетплејса. Претње су искористиле брзи пораст популарности Moltbot-а како би намамиле неопрезне програмере да инсталирају алат који сам Moltbot званично не нуди.
Преглед садржаја
Зашто је Молтбот био атрактиван мамац
Молтбот је скочио са преко 85.000 звездица на ГитХабу, подстакнут својим обећањем о локално хостованом личном вештачком асистенту покретаном великим језичким моделима. Платформа омогућава интеракцију путем познатих сервиса као што су WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat и веб клијенти за ћаскање.
Кључна ствар која се често занемарује јесте да Moltbot нема легитимно VS Code проширење. Нападачи су искористили ову празнину увођењем фалсификованог додатка дизајнираног да се беспрекорно уклопи у екосистем програмера.
Од покретања IDE-а до потпуног даљинског управљања
Једном инсталирано, злонамерно проширење се аутоматски извршавало сваки пут када би се VS Code покренуо. Преузимало је удаљену датотеку config.json са clawdbot.getintwopc.site, која је налагала проширењу да покрене бинарну датотеку под називом Code.exe. Ова извршна датотека је распоредила легитиман алат за удаљени приступ: ConnectWise ScreenConnect.
Инсталирани ScreenConnect клијент се затим повезао са meeting.bulletmailer.net:8041, пружајући нападачима стални, интерактивни даљински приступ зараженој машини.
Тактике редундантне испоруке и отпорности
Нападачи су управљали сопственом ScreenConnect релејном инфраструктуром, дистрибуирајући унапред конфигурисаног клијента путем екстензије. Вишеструки резервни механизми осигуравали су испоруку корисног терета чак и ако су примарни канали команде и контроле отказали.
То је укључивало:
- Преузимање и бочно учитавање злонамерне DLL датотеке засноване на Rust-у (DWrite.dll) на коју се позива у config.json, са могућношћу преузимања ScreenConnect клијента са Dropbox-а.
- Бочно учитавање DLL-а путем Code.exe-а, што би преференцијално учитавало злонамерну библиотеку када би се поставила у исти директоријум.
- Тврдо кодирани URL-ови унутар екстензије који указују на алтернативне локације за преузимање.
- Метода резервног копирања заснована на пакетним скриптама која набавља корисне податке са darkgptprivate.com.
Дубља анализа указује да су нападачи очекивали оперативне кварове, јер је неколико механизама било непоуздано, а опет слојевито за истрајност.
Већа изложеност: Небезбедна распоређивања Moltbot-а
Поред злонамерног проширења, истраживачи су открили стотине неаутентификованих инстанци Moltbot-а на мрежи. Оне су биле резултат класичне погрешне конфигурације обрнутог проксија која је открила конфигурационе датотеке, API кључеве, OAuth акредитиве и приватне историје ћаскања.
Грешка је проистекла из Moltbot-овог аутоматског одобравања „локалних“ веза у комбинацији са имплементацијама иза обрнутих проксија. Саобраћај пореклом са интернета је погрешно третиран као поуздан локални приступ, што је омогућавало неаутентификовану контролу.
Када агенти вештачке интелигенције постану посредници за нападе
Moltbot агенти поседују оперативну аутономију. Могу да шаљу поруке у име корисника, да комуницирају на главним платформама за размену порука, да извршавају алате и да покрећу команде. Ово представља озбиљне ризике ако се добије неовлашћени приступ.
- Компромитовани агенти могу бити злоупотребљени за:
- Опонашајте оператере и убацујте поруке у приватне разговоре
- Манипулисање излазима и токовима рада агента
- Невидљиво уклоните осетљиве податке
- Дистрибуирати злонамерне или прикривене „вештине“ путем MoltHub-а (раније ClawdHub), омогућавајући нападе у стилу ланца снабдевања
Распрострањене погрешне конфигурације су већ створиле услове погодне за цурење акредитива, злоупотребу брзог убризгавања и сценарије компромитовања између облака.
Архитектонска слаба тачка
У сржи проблема лежи архитектонска филозофија компаније Moltbot. Платформа даје приоритет беспрекорном распоређивању у односу на очврснуте подразумеване поставке. Корисници могу брзо да интегришу осетљиве пословне услуге без присилног заштитног зида, валидације акредитива или заштитног простора за додатке.
Стручњаци за безбедност упозоравају да Молтботов дубок приступ пословним системима, често са неуправљаних личних уређаја ван традиционалних безбедносних периметара, ствара контролне тачке са великим утицајем када се погрешно конфигурише. Одсуство „песчаника“ и складиштење дугорочне меморије и акредитива у отвореном тексту чине Молтбот посебно атрактивном метом.
Ако нападач угрози хост машину, напредне технике нису потребне. Модерни крадљивци информација рутински прикупљају познате директоријуме у потрази за токенима, API кључевима, логовима и подацима о конфигурацији програмера. Када се ова средства чувају нешифрована, могу бити украдена у року од неколико секунди.
Истраживачи су већ приметили породице злонамерног софтвера као услуге, као што су RedLine, Lumma и Vidar, које се посебно прилагођавају циљању структура директоријума повезаних са Moltbot-ом.
Од крађе података до когнитивног компромитовања
За оператере крађа информација, подаци Молтбота представљају више од самог акредитива. Они омогућавају оно што истраживачи описују као „крађу когнитивног контекста“. Приступ историји разговора, системским упитима и дугорочном памћењу омогућава противницима да разумеју не само системе, већ и оперативне намере.
Ако нападачи добију и приступ за писање, на пример путем тројанца за удаљени приступ који је распоређен заједно са крадљивцем, могу ескалирати до отмице агента и тровања меморије, суптилно манипулишући понашањем, излазима и односима поверења током времена.
Непосредне мере за ублажавање ризика
Организацијама и појединцима који користе Moltbot са подразумеваним подешавањима се топло саветује да предузму хитне одбрамбене мере:
- Ревидирајте све конфигурације и изложене сервисе.
- Поништите и ротирајте сваку повезану интеграцију и акредитив.
- Прегледајте системе за знаке компромитовања.
- Спроведите контроле приступа и праћење на нивоу мреже.
Без одлучне санације, Moltbot окружења остају веома подложна тихом преузимању, крађи података и нападима низводних ланаца снабдевања.
