Pekeng Moltbot AI Coding Assistant

Natukoy ng mga mananaliksik sa cybersecurity ang isang malisyosong extension ng Microsoft Visual Studio Code sa opisyal na Marketplace na maling nag-advertise ng sarili bilang isang libreng AI-powered coding assistant para sa Moltbot (dating Clawdbot). Sa halip na maghatid ng lehitimong functionality, tahimik na nag-deploy ang extension ng isang mapaminsalang payload sa mga nakompromisong system.

Ang extension, na pinamagatang 'ClawdBot Agent – AI Coding Assistant' (clawdbot.clawdbot-agent), ay inilathala noong Enero 27, 2026, ng isang user na nagngangalang 'clawdbot.' Mula noon ay inalis na ito ng Microsoft mula sa Marketplace. Sinamantala ng mga threat actor ang mabilis na pagsikat ng Moltbot upang akitin ang mga walang kamalay-malay na developer na mag-install ng isang tool na hindi opisyal na inaalok ng Moltbot mismo.

Bakit ang Moltbot ay Isang Kaakit-akit na Pain

Lumagpas na sa 85,000 bituin ang Moltbot sa GitHub, dahil sa pangako nitong magkaroon ng lokal na naka-host na personal AI assistant na pinapagana ng malalaking modelo ng wika. Nagbibigay-daan ang platform na ito sa pakikipag-ugnayan sa pamamagitan ng mga pamilyar na serbisyo tulad ng WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat, at mga web-based chat client.

Isang mahalagang puntong madalas na nakaliligtaan ay ang kawalan ng lehitimong extension ng VS Code ng Moltbot. Sinamantala ng mga umaatake ang kakulangang ito sa pamamagitan ng pagpapakilala ng isang pekeng plugin na idinisenyo upang tuluyang maihalo sa ecosystem ng mga developer.

Mula sa Paglulunsad ng IDE hanggang sa Ganap na Remote Control

Kapag na-install na, awtomatikong gagana ang malisyosong extension sa tuwing ilulunsad ang VS Code. Kumuha ito ng remote config.json file mula sa clawdbot.getintwopc.site, na nag-utos sa extension na magpatakbo ng binary na tinatawag na Code.exe. Nag-deploy ang executable na ito ng lehitimong remote access tool: ConnectWise ScreenConnect.

Ang naka-install na ScreenConnect client ay kumonekta sa meeting.bulletmailer.net:8041, na nagbibigay sa mga attacker ng persistent at interactive na remote access sa nahawaang makina.

Mga Taktika ng Kalabisan na Paghahatid at Katatagan

Pinapatakbo ng mga umaatake ang sarili nilang imprastraktura ng ScreenConnect relay, na namamahagi ng isang paunang na-configure na client sa pamamagitan ng extension. Tiniyak ng maraming fallback mechanism ang paghahatid ng payload kahit na nabigo ang mga pangunahing command-and-control channel.

Kabilang dito ang:

• Pagkuha at pag-sideload ng isang Rust-based na malisyosong DLL (DWrite.dll) na naka-reference sa config.json, na may kakayahang i-download ang ScreenConnect client mula sa Dropbox.
• Pag-sideload ng DLL sa pamamagitan ng Code.exe, na mas pinipiling i-load ang malisyosong library kapag nakalagay sa parehong direktoryo.
• Mga hard-coded na URL sa loob ng extension na nakaturo sa mga alternatibong lokasyon ng pag-download.

• Isang paraan ng pag-backup na nakabatay sa batch-script na kumukuha ng mga payload mula sa darkgptprivate.com.

Ipinapahiwatig ng mas malalim na pagsusuri na inaasahan ng mga umaatake ang mga pagkabigo sa operasyon, dahil maraming mekanismo ang hindi maaasahan ngunit may patong-patong na patong para sa pagtitiyaga.

Ang Mas Malaking Pagkalantad: Mga Hindi Ligtas na Pag-deploy ng Moltbot

Bukod sa malisyosong extension, natuklasan ng mga mananaliksik ang daan-daang hindi awtorisadong Moltbot instance online. Ito ay resulta ng isang klasikong maling pag-configure ng reverse-proxy na naglantad sa mga configuration file, API key, OAuth credentials, at mga pribadong chat history.

Ang depekto ay nag-ugat sa awtomatikong pag-apruba ng Moltbot sa mga 'lokal' na koneksyon na sinamahan ng mga pag-deploy sa likod ng mga reverse proxy. Ang trapikong nagmula sa internet ay maling itinuring bilang pinagkakatiwalaang lokal na access, na nagbibigay-daan sa hindi awtorisadong kontrol.

Kapag ang mga Ahente ng AI ay Naging mga Attack Proxy

Ang mga ahente ng Moltbot ay may awtonomiya sa pagpapatakbo. Maaari silang magpadala ng mga mensahe para sa mga gumagamit, makipag-ugnayan sa mga pangunahing platform ng pagmemensahe, magpatakbo ng mga tool, at magpatakbo ng mga utos. Nagdudulot ito ng matinding panganib kung makakakuha ng hindi awtorisadong pag-access.

• Ang mga nakompromisong ahente ay maaaring abusuhin upang:
• Magpanggap na mga operator at magpasok ng mga mensahe sa mga pribadong pag-uusap
• Manipulahin ang mga output at daloy ng trabaho ng ahente
• Alisin ang sensitibong data nang hindi nakikita
• Ipamahagi ang mga malisyosong o naka-backdoor na 'kasanayan' sa pamamagitan ng MoltHub (dating ClawdHub), na nagbibigay-daan sa mga pag-atakeng istilo ng supply-chain

Ang malawakang maling pag-configure ay lumikha na ng mga kondisyon para sa pagtagas ng kredensyal, pang-aabuso sa prompt-inject, at mga senaryo ng cross-cloud compromise.

Isang Kahinaan sa Arkitektura

Sa kaibuturan ng isyu ay nakasalalay ang pilosopiyang arkitektura ng Moltbot. Mas inuuna ng platform ang frictionless deployment kaysa sa mga hardened default. Mabilis na maisasama ng mga user ang mga sensitibong serbisyo ng enterprise nang walang sapilitang firewalling, credential validation, o plugin sandboxing.

Nagbabala ang mga propesyonal sa seguridad na ang malalim na pag-access ng Moltbot sa mga sistema ng negosyo, kadalasan mula sa mga hindi pinamamahalaang personal na device sa labas ng tradisyonal na mga perimeter ng seguridad, ay lumilikha ng mga high-impact control point kapag hindi na-configure nang maayos. Ang kawalan ng sandboxing at ang pag-iimbak ng long-term memory at mga kredensyal sa plaintext ay ginagawang partikular na kaakit-akit na target ang Moltbot.

Kung ang isang attacker ay makompromiso ang host machine, hindi na kailangan ang mga advanced na pamamaraan. Regular na kinukuha ng mga modernong infostealer ang mga kilalang direktoryo para sa mga token, API key, log, at data ng configuration ng developer. Kapag ang mga asset na ito ay nakaimbak nang hindi naka-encrypt, maaari itong ma-exfiltrate sa loob ng ilang segundo.

Naobserbahan na ng mga mananaliksik ang mga pamilya ng malware-as-a-service tulad ng RedLine, Lumma, at Vidar na partikular na umaangkop sa mga istrukturang direktoryo na may kaugnayan sa Moltbot.

Mula sa Pagnanakaw ng Datos hanggang sa Kognitibong Kompromiso

Para sa mga operator ng infostealer, ang datos ng Moltbot ay kumakatawan sa higit pa sa mga kredensyal. Nagbibigay-daan ito sa tinatawag ng mga mananaliksik na 'cognitive context theft.' Ang pag-access sa mga history ng pag-uusap, mga prompt ng system, at pangmatagalang memorya ay nagbibigay-daan sa mga kalaban na maunawaan hindi lamang ang mga sistema, kundi pati na rin ang layunin sa pagpapatakbo.

Kung makakakuha rin ng write access ang mga umaatake, tulad ng sa pamamagitan ng isang remote access trojan na naka-deploy kasama ng isang stealer, maaari silang lumala sa agent hijacking at memory poisoning, na banayad na minamanipula ang pag-uugali, mga output, at mga relasyon ng tiwala sa paglipas ng panahon.

Mga Agarang Hakbang sa Pagpapagaan ng Panganib

Ang mga organisasyon at indibidwal na gumagamit ng Moltbot na may mga default na setting ay lubos na pinapayuhan na gumawa ng agarang aksyong depensa:

• Suriin ang lahat ng configuration at nakalantad na serbisyo.
• Bawiin at i-rotate ang bawat konektadong integrasyon at kredensyal.
• Suriin ang mga sistema para sa mga palatandaan ng kompromiso.
• Ipatupad ang mga kontrol at pagsubaybay sa pag-access sa antas ng network.

Kung walang tiyak na remediation, ang mga kapaligiran ng Moltbot ay nananatiling lubhang madaling kapitan ng silent takeover, data siphoning, at mga downstream supply-chain attack.