Los investigadores de ciberseguridad han detectado una nueva extensión maliciosa de Microsoft Visual Studio Code (VS Code) para Moltbot (anteriormente conocido como Clawdbot) en el mercado oficial de extensiones. La extensión afirma ser un asistente de codificación de inteligencia artificial (IA) gratuito, pero secretamente arroja una carga útil maliciosa en los hosts comprometidos.
La extensión se denominó «ClawdBot Agent – AIcoding Assistant» («clawdbot.clawdbot-agent») y desde entonces Microsoft la eliminó. Fue publicado el 27 de enero de 2026 por un usuario llamado ‘clawdbot’.
Moltbot ha crecido significativamente y tiene más de 85.000 estrellas en GitHub al momento de escribir este artículo. Creado por el desarrollador austriaco Peter Steinberger, este proyecto de código abierto permite a los usuarios ejecutar un asistente personal de inteligencia artificial impulsado por modelos de lenguaje a gran escala (LLM) localmente en su dispositivo e interactuar con él a través de plataformas de comunicación existentes como WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams y WebChat.
Lo más importante a tener en cuenta aquí es que Moltbot no tiene una extensión VS Code genuina. Esto significa que los atacantes detrás de la operación intentaron aprovechar la creciente popularidad de la herramienta para engañar a los desarrolladores desprevenidos para que la instalaran.
La extensión maliciosa está diseñada para ejecutarse automáticamente cada vez que se inicia el entorno de desarrollo integrado (IDE) y recupera en secreto un archivo llamado «config.json» de un servidor externo («clawdbot.getintwopc(.)site») y ejecuta un binario llamado «Code.exe» que implementa programas legítimos de escritorio remoto como ConnectWise ScreenConnect.
Luego, la aplicación se conecta a la URL «meeting.bulletmailer(.)net:8041» y otorga al atacante acceso remoto permanente al host comprometido.
«El atacante configuró su propio servidor de retransmisión ScreenConnect, generó un instalador de cliente preconfigurado y lo distribuyó a través de una extensión VS Code», dijo el investigador de Aikido Charlie Eriksen. «Una vez que la víctima instala la extensión, recibe un cliente ScreenConnect completamente funcional que realiza llamadas instantáneamente a la infraestructura del atacante».
Además, la extensión incluye un mecanismo alternativo que recupera las DLL enumeradas en «config.json» y las descarga para recuperar la misma carga útil de Dropbox. Una DLL (‘DWrite.dll’) escrita en Rust garantiza que los clientes ScreenConnect se entreguen incluso si la infraestructura de comando y control (C2) se vuelve inaccesible.
Este no es el único mecanismo de respaldo integrado en la extensión para la entrega de carga útil. La extensión falsa Moltbot también incorpora una URL codificada para recuperar el archivo ejecutable y las DLL descargadas. La segunda alternativa utiliza un script por lotes para recuperar la carga útil de otro dominio (‘darkgptprivate(.)com’).
Riesgos de seguridad de Moltbot
La divulgación se produce después de que el investigador de seguridad y fundador de Dvuln, Jamison O’Reilly, descubriera cientos de instancias de Moltbot no autorizadas en línea, exponiendo datos de configuración, claves API, credenciales de OAuth e historial de conversaciones de chat privadas a partes no autorizadas.
«El verdadero problema es que los agentes de Clawdbot tienen poderes», explicó O’Reilly. «Puedes enviar mensajes en nombre de los usuarios en Telegram, Slack, Discord, Signal y WhatsApp. Puedes ejecutar herramientas y ejecutar comandos».
Esto abre la puerta a escenarios en los que los atacantes pueden hacerse pasar por operadores y acceder a contactos, inyectar mensajes en conversaciones en curso, modificar las respuestas de los agentes y filtrar datos confidenciales sin su conocimiento. Más importante aún, los atacantes pueden distribuir «habilidades» de Moltbot de puerta trasera a través de MoltHub (anteriormente conocido como ClawdHub) para realizar ataques a la cadena de suministro y desviar datos confidenciales.
Intruder dijo en un análisis similar que observó configuraciones erróneas generalizadas que provocaron fugas de credenciales, vulnerabilidades de inyección rápida e instancias comprometidas en múltiples proveedores de nube.
«El problema central radica en la arquitectura: Clawdbot prioriza la facilidad de implementación sobre una configuración segura por defecto», dijo el ingeniero de seguridad de intrusos Benjamin Marr en un comunicado. «Los usuarios no técnicos pueden lanzar instancias e integrar servicios confidenciales sin encontrar fricciones o validación de seguridad. No existen requisitos obligatorios de firewall, validación de credenciales ni aislamiento de complementos que no son de confianza».
Recomendamos que los usuarios que ejecutan Clawdbot en la configuración predeterminada auditen su configuración, revoquen todas las integraciones de servicios conectados, revisen las credenciales expuestas, implementen controles de red y supervisen indicadores de compromiso.
Source link
