Falsk Moltbot AI-kodningsassistent

Med Mezo år Skadlig programvara

Översätt till:

Cybersäkerhetsforskare har identifierat ett skadligt Microsoft Visual Studio Code-tillägg på den officiella Marketplace som falskeligen marknadsförde sig som en gratis AI-driven kodningsassistent för Moltbot (tidigare Clawdbot). Istället för att leverera legitim funktionalitet distribuerade tillägget i tysthet en skadlig nyttolast på komprometterade system.

Tillägget, med titeln "ClawdBot Agent – AI Coding Assistant" (clawdbot.clawdbot-agent), publicerades den 27 januari 2026 av en användare vid namn "clawdbot". Microsoft har sedan dess tagit bort det från Marketplace. Hotaktörer utnyttjade Moltbots snabba popularitetsökning för att locka intet ont anande utvecklare att installera ett verktyg som Moltbot själv inte officiellt erbjuder.

Innehållsförteckning

Varför Moltbot var ett attraktivt bete

Moltbot har passerat 85 000 stjärnor på GitHub, drivna av deras löfte om en lokalt hostad personlig AI-assistent som drivs av stora språkmodeller. Plattformen möjliggör interaktion genom välkända tjänster som WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat och webbaserade chattklienter.

En kritisk punkt som ofta förbises är att Moltbot inte har någon legitim VS Code-tillägg. Angripare utnyttjade denna lucka genom att introducera ett förfalskat plugin utformat för att smälta in sömlöst i utvecklarnas ekosystem.

Från IDE-lansering till fullständig fjärrkontroll

När det skadliga tillägget installerades kördes det automatiskt varje gång VS Code startades. Det hämtade en fjärrfil config.json från clawdbot.getintwopc.site, som instruerade tillägget att köra en binärfil med namnet Code.exe. Denna körbara fil distribuerade ett legitimt fjärråtkomstverktyg: ConnectWise ScreenConnect.

Den installerade ScreenConnect-klienten anslöt sedan till meeting.bulletmailer.net:8041, vilket gav angriparna beständig, interaktiv fjärråtkomst till den infekterade maskinen.

Redundant leverans och motståndskraftstaktik

Angriparna använde sin egen ScreenConnect-reläinfrastruktur och distribuerade en förkonfigurerad klient genom tillägget. Flera reservmekanismer säkerställde leverans av nyttolast även om primära kommando- och kontrollkanaler misslyckades.

Dessa inkluderade:

Hämtning och sidladdning av en Rust-baserad skadlig DLL (DWrite.dll) refererad i config.json, kapabel att ladda ner ScreenConnect-klienten från Dropbox.
DLL-sidladdning via Code.exe, vilket företrädesvis skulle ladda det skadliga biblioteket när det placeras i samma katalog.
Hårdkodade webbadresser i tillägget som pekar till alternativa nedladdningsplatser.

En batchskriptbaserad säkerhetskopieringsmetod som hämtar nyttolaster från darkgptprivate.com.

Djupare analys tyder på att angriparna förutsåg operativa misslyckanden, eftersom flera mekanismer var opålitliga men ändå flerskiktade för att vara ihållande.

Den större exponeringen: Osäkra Moltbot-implementeringar

Utöver det skadliga tillägget upptäckte forskare hundratals oautentiserade Moltbot-instanser online. Dessa var resultatet av en klassisk felkonfiguration av omvänd proxy som exponerade konfigurationsfiler, API-nycklar, OAuth-inloggningsuppgifter och privata chatthistoriker.

Felet härrörde från Moltbots automatiska godkännande av "lokala" anslutningar i kombination med distributioner bakom omvända proxyservrar. Internetbaserad trafik behandlades felaktigt som betrodd lokal åtkomst, vilket möjliggjorde oautentiserad kontroll.

När AI-agenter blir attackombud

Moltbot-agenter har operativ autonomi. De kan skicka meddelanden å användares vägnar, interagera över större meddelandeplattformar, köra verktyg och kommandon. Detta medför allvarliga risker om obehörig åtkomst erhålls.

Komprometterade agenter kan missbrukas för att:
Utge dig för att vara operatörer och infoga meddelanden i privata konversationer
Manipulera agentutdata och arbetsflöden
Exfiltrera känsliga data osynligt
Distribuera skadliga eller bakdörrade "färdigheter" via MoltHub (tidigare ClawdHub), vilket möjliggör attacker i leveranskedjestil

Utbredda felkonfigurationer har redan skapat förutsättningar som är mogna för läckage av autentiseringsuppgifter, missbruk av snabb injektion och komprometteringsscenarier över molnet.

En arkitektonisk svag punkt

Kärnan i problemet ligger Moltbots arkitekturfilosofi. Plattformen prioriterar friktionsfri driftsättning framför härdade standardinställningar. Användare kan snabbt integrera känsliga företagstjänster utan påtvingad brandvägg, validering av autentiseringsuppgifter eller sandlådor för plugin.

Säkerhetsexperter varnar för att Moltbots djupa åtkomst till företagssystem, ofta från ohanterade personliga enheter utanför traditionella säkerhetsperimetrar, skapar kontrollpunkter med stor påverkan när de är felkonfigurerade. Avsaknaden av sandlådor och lagring av långtidsminne och inloggningsuppgifter i klartext gör Moltbot till ett särskilt attraktivt mål.

Om en angripare komprometterar värdmaskinen är avancerade tekniker onödiga. Moderna informationstjuvar samlar rutinmässigt in kända kataloger för tokens, API-nycklar, loggar och utvecklarkonfigurationsdata. När dessa tillgångar lagras okrypterade kan de exfiltreras inom några sekunder.

Forskare har redan observerat familjer av skadlig kod som en tjänst, såsom RedLine, Lumma och Vidar, som anpassar sig specifikt för att rikta in sig på Moltbot-relaterade katalogstrukturer.

Från datastöld till kognitiv kompromiss

För informationsstöldoperatörer representerar Moltbot-data mer än inloggningsuppgifter. Det möjliggör vad forskare beskriver som "kognitiv kontextstöld". Tillgång till konversationshistorik, systemprompter och långtidsminne gör det möjligt för motståndare att förstå inte bara system, utan även operativa avsikter.

Om angripare också får skrivåtkomst, till exempel genom en fjärråtkomsttrojan som distribueras tillsammans med en stöld, kan de eskalera till agentkapning och minnesförgiftning, och subtilt manipulera beteende, utdata och förtroenderelationer över tid.

Omedelbara riskreducerande åtgärder

Organisationer och individer som använder Moltbot med standardinställningar rekommenderas starkt att vidta omedelbara defensiva åtgärder:

Granska alla konfigurationer och exponerade tjänster.
Återkalla och rotera alla anslutna integrationer och autentiseringsuppgifter.
Granska system för tecken på kompromisser.
Tillämpa åtkomstkontroller och övervakning på nätverksnivå.

Utan avgörande åtgärdande åtgärder förblir Moltbot-miljöer mycket mottagliga för tysta övertaganden, dataintrång och attacker nedströms i leveranskedjan.

EnigmaSofts betalningsprocessor Digital River GmbH ansöker om konkurs påverkar inte SpyHunter-kundernas skydd mot skadlig programvara

Sök

Ändra region

Falsk Moltbot AI-kodningsassistent

Varför Moltbot var ett attraktivt bete

Från IDE-lansering till fullständig fjärrkontroll

Redundant leverans och motståndskraftstaktik

Den större exponeringen: Osäkra Moltbot-implementeringar

När AI-agenter blir attackombud

En arkitektonisk svag punkt

Från datastöld till kognitiv kompromiss

Omedelbara riskreducerande åtgärder

skicka kommentar

Trendigt

E-postbedrägeri om IT-säkerhetsskydd

Multisender Airdrop-bluff

PDFSIDER-skadlig programvara

Mest sedda

Hur du åtgärdar "Skrivardrivrutinen är inte...

Discord visar svart skärm när skärmen delas

Så här fixar du "macOS kan inte verifiera att den...