Pesquisadores em cibersegurança identificaram uma nova extensão maliciosa para o Microsoft Visual Studio Code (VS Code) relacionada ao Moltbot (antigo Clawdbot).
Disponível no marketplace oficial, a extensão se apresentava como um assistente gratuito de codificação baseado em inteligência artificial (IA), mas, secretamente, instalava um payload malicioso nos computadores infectados.
Batizada de "ClawdBot Agent - AI Coding Assistant" ("clawdbot.clawdbot-agent"), a extensão foi removida pela Microsoft após sua publicação, ocorrida em 27 de janeiro de 2026, por um usuário chamado "clawdbot".
O Moltbot, por sua vez, é um projeto open-source criado pelo desenvolvedor austríaco Peter Steinberger que vem ganhando grande popularidade, acumulando mais de 85.000 estrelas no GitHub.
Ele permite que usuários executem um assistente pessoal de IA, baseado em large language models (LLMs), localmente em seus dispositivos, com interação por meio de plataformas conhecidas, como WhatsApp, Telegram, Slack, Discord, Microsoft Teams, entre outras.
O ponto crucial é que o Moltbot não possui uma extensão oficial legítima para o VS Code.
Criminosos aproveitaram essa popularidade crescente para enganar desenvolvedores, levando-os a instalar a extensão maliciosa.
A extensão é executada automaticamente a cada inicialização do IDE, baixando silenciosamente um arquivo chamado "config.json" de um servidor externo (“clawdbot.getintwopc[.]site”).
Esse arquivo orienta a execução de um binário chamado "Code.exe", que instala um software legítimo de acesso remoto similar ao ConnectWise ScreenConnect.
Em seguida, a aplicação conecta-se a "meeting.bulletmailer[.]net:8041", oferecendo ao invasor acesso remoto persistente ao computador comprometido.
Segundo Charlie Eriksen, pesquisador da Aikido, “os atacantes criaram um servidor de relay para o ScreenConnect, geraram um instalador pré-configurado e o distribuíram via extensão do VS Code.
Quando a vítima instala a extensão, recebe um cliente funcional do ScreenConnect que se conecta imediatamente à infraestrutura dos invasores”.
Além disso, a extensão conta com um mecanismo de fallback para garantir a entrega do payload.
Ela recupera uma DLL nomeada “DWrite.dll”, escrita em Rust e listada no “config.json”, que é carregada em modo sideload para assegurar a instalação do client ScreenConnect, mesmo se a infraestrutura de comando e controle (C2) ficar inacessível.
URLs embutidas no código também fornecem caminhos alternativos para baixar o executável e a DLL.
Outro método alternativo utiliza um script em batch para obter esses arquivos de um domínio diferente, “darkgptprivate[.]com”.
**Riscos de segurança no ecossistema Moltbot**
Essa vulnerabilidade ocorre no momento em que o fundador da Dvuln e pesquisador Jamieson O’Reilly identificou centenas de instâncias Moltbot desprotegidas online.
Essas instâncias expunham dados sensíveis, como configurações, chaves API, credenciais OAuth e históricos de conversas privadas a terceiros não autorizados.
O’Reilly alerta que “os agentes Clawdbot têm autonomia”, podendo enviar mensagens em nome dos usuários em diversas plataformas (Telegram, Slack, Discord, Signal, WhatsApp), além de executar comandos e ferramentas.
Isso permite que invasores se passem pela vítima junto a seus contatos, modifiquem conversas, alterem respostas do agente e exfiltrar dados sigilosos sem que a vítima perceba.
Pior ainda, um atacante pode distribuir uma “skill” maliciosa por meio do MoltHub (antigo ClawdHub) para atacar a cadeia de suprimentos, roubando informações.
Em análise semelhante, a empresa Intruder constatou configurações inseguras generalizadas, com exposição de credenciais, vulnerabilidades de prompt injection e diversas instâncias comprometidas em provedores de nuvem.
Benjamin Marr, engenheiro de segurança da Intruder, destacou que “o problema central é arquitetural: o Clawdbot prioriza a facilidade de implantação em detrimento da segurança padrão.
Usuários não técnicos podem criar instâncias e conectar serviços sensíveis sem qualquer validação ou controle.
Não há exigência de firewall, validação de credenciais ou sandbox para plugins não confiáveis”.
Usuários que utilizam o Moltbot com configurações padrão são fortemente recomendados a revisar suas configurações, revogar integrações com serviços conectados, auditar credenciais expostas, implementar controles de rede e monitorar atividades suspeitas que possam indicar comprometimento.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...