Los investigadores de ciberseguridad tienen marcado una nueva extensión maliciosa de Microsoft Visual Studio Code (VS Code) para Moltbot (anteriormente Clawdbot) en el Extension Marketplace oficial, que afirma ser un asistente gratuito de codificación de inteligencia artificial (IA), pero deja caer sigilosamente una carga maliciosa en los servidores comprometidos.
La extensión, denominada «ClawDBot Agent - AI Coding Assistant» («clawdbot.clawdbot-agent»), ha sido eliminada desde entonces por Microsoft. La publicó un usuario llamado «clawdbot» el 27 de enero de 2026.
Moltbot ha despegado a lo grande, cruzando más de 85.000 estrellas en GitHub al momento de escribir este artículo. El proyecto de código abierto, creado por el desarrollador austríaco Peter Steinberger, permite a los usuarios utilizar localmente en sus propios dispositivos un asistente personal de IA basado en un modelo de lenguaje de gran tamaño (LLM) e interactuar con él a través de plataformas de comunicación ya establecidas, como WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams y WebChat.
El aspecto más importante a tener en cuenta aquí es que Moltbot no tiene una extensión VS Code legítima, lo que significa que los actores de amenazas detrás de la actividad capitalizaron la creciente popularidad de la herramienta para engañar a los desarrolladores desprevenidos para que la instalaran.
La extensión maliciosa está diseñada de tal manera que se ejecuta automáticamente cada vez que se lanza el entorno de desarrollo integrado (IDE) y recupera sigilosamente un archivo llamado «config.json» de un servidor externo («clawdbot.getintwopc [.] site») para ejecutar un binario llamado "Code.exe" que implementa un programa de escritorio remoto legítimo como ConnectWise ScreenConnect.
A continuación, la aplicación se conecta a la URL «meeting.bulletmailer [.] net:8041», lo que otorga al atacante un acceso remoto persistente al host comprometido.
«Los atacantes configuraron su propio servidor de retransmisión ScreenConnect, generaron un instalador de cliente preconfigurado y lo distribuyeron a través de la extensión VS Code», dijo el investigador de Aikido Charlie Eriksen. «Cuando las víctimas instalan la extensión, obtienen un cliente de ScreenConnect totalmente funcional que llama inmediatamente a la infraestructura del atacante».
Además, la extensión incorpora un mecanismo alternativo que recupera una DLL que aparece en «config.json» y la carga de forma lateral para obtener la misma carga útil de Dropbox. La DLL (» DWrite.dll «), escrita en Rust, garantiza la disponibilidad del cliente ScreenConnect aunque no se pueda acceder a la infraestructura de comando y control (C2).
Este no es el único mecanismo de respaldo incorporado en la extensión para la entrega de carga útil. La falsa extensión de Moltbot también incorpora URL codificadas de forma rígida para que el ejecutable y la DLL se descarguen de forma lateral. Un segundo método alternativo consiste en utilizar un script por lotes para obtener las cargas útiles de un dominio diferente («darkgptprivate [.] com»).
Los riesgos de seguridad con Moltbot
La revelación se produce cuando el investigador de seguridad y fundador de Dvuln, Jamieson O'Reilly, encontró cientos de instancias de Moltbot no autenticadas en Internet, lo que expuso datos de configuración, claves de API, credenciales de OAuth e historiales de conversaciones de chats privados a partes no autorizadas.
«El verdadero problema es que los agentes de Clawdbot tienen agencia», O'Reilly explicó . «Pueden enviar mensajes en nombre de los usuarios de Telegram, Slack, Discord, Signal y WhatsApp. Pueden ejecutar herramientas y ejecutar comandos».
Esto, a su vez, abre la puerta a un escenario en el que un atacante puede hacerse pasar por el operador ante sus contactos, inyectar mensajes en las conversaciones en curso, modificar las respuestas de los agentes y filtrar datos confidenciales sin su conocimiento. Y lo que es más importante, un atacante podría distribuir una «habilidad» de Moltbot con puerta trasera vía Molt Hub (anteriormente ClawdHub) para organizar ataques a la cadena de suministro y extraer datos confidenciales.
Intruder, en un análisis similar, dijo ha observado errores de configuración generalizados que conducen a la exposición de credenciales, vulnerabilidades de inyección rápida e instancias comprometidas en varios proveedores de nube.
«El problema principal es arquitectónico: Clawdbot prioriza la facilidad de implementación sobre la configuración segura por defecto», dijo Benjamin Marr, ingeniero de seguridad de Intruder, en un comunicado. «Los usuarios que no tienen conocimientos técnicos pueden crear instancias e integrar servicios confidenciales sin tener que enfrentarse a ningún problema de seguridad o validación. No hay requisitos de firewall obligatorios, no se validan las credenciales y no hay que aislar complementos que no son de confianza».
Se recomienda a los usuarios que ejecuten Clawdbot con configuraciones predeterminadas que auditar su configuración , revoque todas las integraciones de servicios conectadas, revise las credenciales expuestas, implemente controles de red y supervise las señales de riesgo.
Post generado automáticamente, fuente oficial de la información: THEHACKERNEWS