Фальшивий помічник кодування Moltbot AI
Дослідники з кібербезпеки виявили шкідливе розширення Microsoft Visual Studio Code на офіційному Marketplace, яке хибно рекламувало себе як безкоштовного помічника з кодування на базі штучного інтелекту для Moltbot (раніше Clawdbot). Замість забезпечення легітимної функціональності, розширення непомітно розгортало шкідливе корисне навантаження на уражені системи.
Розширення під назвою «ClawdBot Agent – помічник з кодування на основі штучного інтелекту» (clawdbot.clawdbot-agent) було опубліковано 27 січня 2026 року користувачем з іменем «clawdbot». З того часу Microsoft видалила його з Marketplace. Зловмисники скористалися швидким зростанням популярності Moltbot, щоб заманити нічого не підозрюючих розробників до встановлення інструменту, який сам Moltbot офіційно не пропонує.
Зміст
Чому Молтбот був привабливою приманкою
Moltbot набрав понад 85 000 зірок на GitHub завдяки своїй обіцянці створити локально розміщеного персонального помічника на базі штучного інтелекту, що працює на основі моделей великих мов. Платформа дозволяє взаємодіяти через знайомі сервіси, такі як WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat та веб-клієнти чату.
Критичним моментом, який часто ігнорують, є те, що Moltbot не має легітимного розширення VS Code. Зловмисники скористалися цією прогалиною, впровадивши підроблений плагін, розроблений для бездоганної інтеграції в екосистему розробника.
Від запуску IDE до повного віддаленого керування
Після встановлення шкідливе розширення автоматично виконувалося щоразу під час запуску VS Code. Воно отримувало віддалений файл config.json з clawdbot.getintwopc.site, який наказував розширенню запустити двійковий файл під назвою Code.exe. Цей виконуваний файл розгортав легітимний інструмент віддаленого доступу: ConnectWise ScreenConnect.
Встановлений клієнт ScreenConnect потім підключився до meeting.bulletmailer.net:8041, надаючи зловмисникам постійний інтерактивний віддалений доступ до зараженої машини.
Тактики надлишкової доставки та стійкості
Зловмисники керували власною інфраструктурою ретрансляції ScreenConnect, розповсюджуючи попередньо налаштованого клієнта через розширення. Кілька резервних механізмів забезпечували доставку корисного навантаження навіть у разі збою основних каналів командування та управління.
До них належали:
- Отримання та завантаження шкідливої DLL-бібліотеки на основі Rust (DWrite.dll), на яку посилається config.json, і яка може завантажувати клієнт ScreenConnect з Dropbox.
- Завантаження DLL через Code.exe, що переважно завантажує шкідливу бібліотеку, якщо її розмістити в тому ж каталозі.
- Жорстко закодовані URL-адреси в розширенні, що вказують на альтернативні місця завантаження.
Глибший аналіз показує, що зловмисники передбачали операційні збої, оскільки кілька механізмів були ненадійними, але багаторівневими для забезпечення стійкості.
Ширший вплив: Небезпечне розгортання Moltbot
Окрім шкідливого розширення, дослідники виявили в Інтернеті сотні неавтентифікованих екземплярів Moltbot. Вони були результатом класичної неправильної конфігурації зворотного проксі-сервера, яка розкрила файли конфігурації, ключі API, облікові дані OAuth та історію приватних чатів.
Вразливість виникала через автоматичне схвалення Moltbot «локальних» з’єднань у поєднанні з розгортанням за зворотними проксі-серверами. Трафік, що надходить з Інтернету, помилково трактувався як довірений локальний доступ, що дозволяло здійснювати неавторизований контроль.
Коли агенти штучного інтелекту стають проксі-атаками
Агенти Moltbot мають операційну автономію. Вони можуть надсилати повідомлення від імені користувачів, взаємодіяти на основних платформах обміну повідомленнями, запускати інструменти та команди. Це створює серйозні ризики у разі отримання несанкціонованого доступу.
- Скомпрометовані агенти можуть бути використані для:
- Видавати себе за операторів та вставляти повідомлення в приватні розмови
- Маніпулювання виводами агентів та робочими процесами
- Непомітно витягніть конфіденційні дані
- Розповсюджувати шкідливі або викрадені «навички» через MoltHub (раніше ClawdHub), що дозволяє здійснювати атаки в стилі ланцюга поставок.
Поширені неправильні конфігурації вже створили сприятливі умови для витоку облікових даних, зловживання підказками та сценаріїв компрометації між хмарами.
Архітектурне слабке місце
В основі проблеми лежить архітектурна філософія Moltbot. Платформа надає пріоритет безперебійному розгортанню над жорсткими налаштуваннями за замовчуванням. Користувачі можуть швидко інтегрувати конфіденційні корпоративні сервіси без примусового брандмауера, перевірки облікових даних чи ізольованого середовища плагінів.
Фахівці з безпеки попереджають, що глибокий доступ Moltbot до корпоративних систем, часто з некерованих персональних пристроїв поза традиційними периметрами безпеки, створює високоефективні точки контролю за умови неправильного налаштування. Відсутність «пісочниці» та зберігання довготривалої пам’яті й облікових даних у відкритому тексті роблять Moltbot особливо привабливою ціллю.
Якщо зловмисник скомпрометує хост-машину, складні методи не потрібні. Сучасні викрадачі інформації регулярно збирають відомі каталоги для пошуку токенів, ключів API, журналів та даних конфігурації розробника. Коли ці активи зберігаються незашифрованими, їх можна викрасти за лічені секунди.
Дослідники вже спостерігали сімейства шкідливих програм як послуг, такі як RedLine, Lumma та Vidar, які адаптуються спеціально для атаки на структури каталогів, пов'язані з Moltbot.
Від крадіжки даних до когнітивного компрометування
Для операторів інформаційних викрадачів дані Moltbot означають більше, ніж просто облікові дані. Вони дозволяють здійснювати те, що дослідники називають «крадіжкою когнітивного контексту». Доступ до історії розмов, системних підказок та довготривалої пам’яті дозволяє зловмисникам розуміти не лише системи, а й оперативні наміри.
Якщо зловмисники також отримують доступ для запису, наприклад, через трояна віддаленого доступу, розгорнутого разом із викрадачем, вони можуть перерости у викрадання агентів та отруєння пам'яті, з часом тонко маніпулюючи поведінкою, результатами та довірчими відносинами.
Негайні заходи щодо зменшення ризиків
Організаціям та особам, які використовують Moltbot із налаштуваннями за замовчуванням, наполегливо рекомендується вжити негайних захисних заходів:
- Перевірте всі конфігурації та відкриті служби.
- Скасувати та повернути кожну підключену інтеграцію та облікові дані.
- Перегляньте системи на наявність ознак компрометації.
- Забезпечити контроль доступу та моніторинг на рівні мережі.
Без рішучих заходів щодо усунення недоліків середовища Moltbot залишаються дуже вразливими до тихого захоплення, витоку даних та атак на ланцюги поставок.
