Trợ lý lập trình AI Moltbot giả mạo

Các nhà nghiên cứu an ninh mạng đã phát hiện một tiện ích mở rộng độc hại của Microsoft Visual Studio Code trên Marketplace chính thức, tự quảng cáo sai sự thật là một trợ lý lập trình miễn phí được hỗ trợ bởi trí tuệ nhân tạo dành cho Moltbot (trước đây là Clawdbot). Thay vì cung cấp chức năng hợp pháp, tiện ích mở rộng này đã âm thầm triển khai một phần mềm độc hại vào các hệ thống bị xâm nhập.

Tiện ích mở rộng có tên 'ClawdBot Agent – AI Coding Assistant' (clawdbot.clawdbot-agent) được người dùng có tên 'clawdbot' đăng tải vào ngày 27 tháng 1 năm 2026. Microsoft sau đó đã gỡ bỏ nó khỏi Marketplace. Các đối tượng tấn công mạng đã lợi dụng sự nổi lên nhanh chóng của Moltbot để dụ dỗ các nhà phát triển không nghi ngờ cài đặt một công cụ mà chính Moltbot không chính thức cung cấp.

Vì sao Moltbot lại là một mồi câu hấp dẫn?

Moltbot đã nhanh chóng vượt qua mốc 85.000 lượt đánh dấu sao trên GitHub, nhờ vào lời hứa về một trợ lý AI cá nhân được lưu trữ cục bộ, hỗ trợ bởi các mô hình ngôn ngữ lớn. Nền tảng này cho phép tương tác thông qua các dịch vụ quen thuộc như WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat và các ứng dụng trò chuyện trên web.

Một điểm quan trọng thường bị bỏ qua là Moltbot không có tiện ích mở rộng hợp pháp nào cho VS Code. Kẻ tấn công đã lợi dụng lỗ hổng này bằng cách đưa vào một plugin giả mạo được thiết kế để hòa nhập hoàn toàn vào hệ sinh thái của nhà phát triển.

Từ khởi chạy IDE đến điều khiển từ xa hoàn toàn

Sau khi được cài đặt, tiện ích mở rộng độc hại sẽ tự động thực thi mỗi khi VS Code được khởi chạy. Nó đã truy xuất tệp config.json từ xa từ clawdbot.getintwopc.site, tệp này hướng dẫn tiện ích mở rộng chạy một tệp nhị phân có tên Code.exe. Tệp thực thi này triển khai một công cụ truy cập từ xa hợp pháp: ConnectWise ScreenConnect.

Sau khi cài đặt, ứng dụng ScreenConnect client đã kết nối đến meeting.bulletmailer.net:8041, cung cấp cho kẻ tấn công quyền truy cập từ xa tương tác liên tục vào máy tính bị nhiễm.

Chiến thuật phân phối dự phòng và khả năng phục hồi

Nhóm tấn công vận hành cơ sở hạ tầng chuyển tiếp ScreenConnect riêng của chúng, phân phối một ứng dụng khách được cấu hình sẵn thông qua tiện ích mở rộng. Nhiều cơ chế dự phòng đảm bảo việc phân phối tải trọng ngay cả khi các kênh điều khiển chính bị lỗi.

Những điều này bao gồm:

• Việc truy xuất và cài đặt thủ công một DLL độc hại dựa trên Rust (DWrite.dll) được tham chiếu trong config.json, có khả năng tải xuống ứng dụng khách ScreenConnect từ Dropbox.
• Việc tải DLL bất hợp pháp thông qua Code.exe, sẽ ưu tiên tải thư viện độc hại khi nó được đặt trong cùng thư mục.
• Các URL được mã hóa cứng trong tiện ích mở rộng trỏ đến các vị trí tải xuống thay thế.

• Một phương pháp sao lưu dựa trên tập lệnh hàng loạt, lấy dữ liệu từ darkgptprivate.com.

Phân tích sâu hơn cho thấy những kẻ tấn công đã lường trước được các sự cố vận hành, vì một số cơ chế không đáng tin cậy nhưng lại được thiết kế nhiều lớp để duy trì hoạt động.

Rủi ro lớn hơn: Các triển khai Moltbot không an toàn

Ngoài tiện ích mở rộng độc hại, các nhà nghiên cứu còn phát hiện hàng trăm trường hợp Moltbot không được xác thực đang hoạt động trực tuyến. Đây là kết quả của lỗi cấu hình proxy ngược kinh điển, làm lộ các tệp cấu hình, khóa API, thông tin xác thực OAuth và lịch sử trò chuyện riêng tư.

Lỗi này bắt nguồn từ việc Moltbot tự động phê duyệt các kết nối 'cục bộ' kết hợp với việc triển khai phía sau máy chủ proxy ngược. Lưu lượng truy cập từ Internet bị xử lý nhầm là truy cập cục bộ đáng tin cậy, cho phép kiểm soát trái phép.

Khi các tác nhân AI trở thành công cụ tấn công

Các tác nhân Moltbot có khả năng tự chủ hoạt động. Chúng có thể gửi tin nhắn thay mặt người dùng, tương tác trên các nền tảng nhắn tin chính, thực thi các công cụ và chạy các lệnh. Điều này tiềm ẩn những rủi ro nghiêm trọng nếu bị truy cập trái phép.

• Các đại lý bị xâm nhập có thể bị lạm dụng để:
• Giả mạo người điều hành và chèn tin nhắn vào các cuộc trò chuyện riêng tư
• Điều chỉnh đầu ra và quy trình làm việc của tác nhân
• Đánh cắp dữ liệu nhạy cảm một cách bí mật
• Phân phối các "kỹ năng" độc hại hoặc có cửa hậu thông qua MoltHub (trước đây là ClawdHub), tạo điều kiện cho các cuộc tấn công kiểu chuỗi cung ứng.

Các cấu hình sai phổ biến đã tạo ra điều kiện thuận lợi cho việc rò rỉ thông tin đăng nhập, lạm dụng chèn mã nhắc lệnh và các kịch bản xâm nhập xuyên đám mây.

Một điểm yếu về kiến trúc

Vấn đề cốt lõi nằm ở triết lý kiến trúc của Moltbot. Nền tảng này ưu tiên triển khai dễ dàng hơn là các thiết lập mặc định cứng nhắc. Người dùng có thể nhanh chóng tích hợp các dịch vụ doanh nghiệp nhạy cảm mà không cần tường lửa bắt buộc, xác thực thông tin đăng nhập hoặc cách ly plugin.

Các chuyên gia bảo mật cảnh báo rằng khả năng truy cập sâu vào hệ thống doanh nghiệp của Moltbot, thường từ các thiết bị cá nhân không được quản lý nằm ngoài phạm vi bảo mật truyền thống, tạo ra các điểm kiểm soát có tác động lớn khi cấu hình sai. Việc thiếu cơ chế hộp cát (sandboxing) và việc lưu trữ bộ nhớ dài hạn cùng thông tin đăng nhập dưới dạng văn bản thuần khiến Moltbot trở thành mục tiêu đặc biệt hấp dẫn.

Nếu kẻ tấn công xâm nhập được vào máy chủ, các kỹ thuật nâng cao sẽ không cần thiết. Các phần mềm đánh cắp thông tin hiện đại thường xuyên thu thập thông tin từ các thư mục đã biết để lấy mã thông báo, khóa API, nhật ký và dữ liệu cấu hình của nhà phát triển. Khi các tài sản này được lưu trữ mà không được mã hóa, chúng có thể bị đánh cắp chỉ trong vài giây.

Các nhà nghiên cứu đã quan sát thấy các họ phần mềm độc hại dạng dịch vụ như RedLine, Lumma và Vidar thích nghi đặc biệt để nhắm mục tiêu vào các cấu trúc thư mục liên quan đến Moltbot.

Từ đánh cắp dữ liệu đến xâm phạm nhận thức

Đối với những kẻ điều hành phần mềm đánh cắp thông tin, dữ liệu Moltbot không chỉ đơn thuần là thông tin đăng nhập. Nó cho phép chúng thực hiện điều mà các nhà nghiên cứu mô tả là "đánh cắp ngữ cảnh nhận thức". Việc truy cập vào lịch sử hội thoại, lời nhắc hệ thống và bộ nhớ dài hạn cho phép kẻ thù hiểu không chỉ hệ thống mà còn cả ý đồ hoạt động.

Nếu kẻ tấn công cũng giành được quyền ghi, chẳng hạn như thông qua một phần mềm độc hại truy cập từ xa được triển khai cùng với phần mềm đánh cắp dữ liệu, chúng có thể leo thang thành việc chiếm quyền điều khiển tác nhân và làm nhiễm độc bộ nhớ, từ đó thao túng một cách tinh vi hành vi, đầu ra và các mối quan hệ tin cậy theo thời gian.

Các biện pháp giảm thiểu rủi ro tức thời

Các tổ chức và cá nhân đang sử dụng Moltbot với cài đặt mặc định được khuyến cáo mạnh mẽ nên thực hiện các biện pháp phòng ngừa ngay lập tức:

• Kiểm tra toàn bộ cấu hình và các dịch vụ được công khai.
• Thu hồi và thay đổi định kỳ mọi tích hợp và thông tin xác thực đã kết nối.
• Kiểm tra hệ thống để tìm dấu hiệu bị xâm phạm.
• Thực thi các biện pháp kiểm soát truy cập và giám sát ở cấp độ mạng.

Nếu không có biện pháp khắc phục quyết định, môi trường Moltbot vẫn rất dễ bị chiếm quyền kiểm soát ngầm, đánh cắp dữ liệu và các cuộc tấn công chuỗi cung ứng tiếp theo.