Los investigadores de ciberseguridad han señalado una nueva extensión maliciosa de Microsoft Visual Studio Code (VS Code) para Moltbot (anteriormente Clawdbot) en el Extension Marketplace oficial que afirma ser un asistente de codificación de inteligencia químico (IA) gratis, pero deja caer sigilosamente una carga útil maliciosa en los hosts comprometidos.
Desde entonces, Microsoft ha eliminado la extensión, denominada “ClawdBot Agent – AI Coding Assistant” (“clawdbot.clawdbot-agent”). Fue publicado por un afortunado llamado “clawdbot” el 27 de enero de 2026.
Moltbot ha despegado a lo vasto, cruzando más de 85.000 estrellas en GitHub al momento de escribir este artículo. El plan de código campechano, creado por el desarrollador austriaco Peter Steinberger, permite a los usuarios ejecutar un asistente personal de inteligencia químico impulsado por un maniquí de jerga vasto (LLM) localmente en sus propios dispositivos e interactuar con él a través de plataformas de comunicación ya establecidas como WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams y WebChat.
El aspecto más importante a tener en cuenta aquí es que Moltbot no tiene una extensión VS Code legítima, lo que significa que los actores de amenazas detrás de la actividad aprovecharon la creciente popularidad de la útil para engañar a los desarrolladores desprevenidos para que la instalen.
La extensión maliciosa está diseñada de guisa que se ejecuta automáticamente cada vez que se inicia el entorno de mejora integrado (IDE), recuperando sigilosamente un archivo llamado “config.json” de un servidor extranjero (“clawdbot.getintwopc(.)site”) para ejecutar un binario llamado “Code.exe” que implementa un software de escritorio remoto seguro como ConnectWise ScreenConnect.
Luego, la aplicación se conecta a la URL “meeting.bulletmailer(.)net:8041”, otorgando al atacante paso remoto persistente al host comprometido.
“Los atacantes configuraron su propio servidor de retransmisión ScreenConnect, generaron un instalador de cliente preconfigurado y lo distribuyeron a través de la extensión VS Code”, dijo el investigador de Aikido Charlie Eriksen. “Cuando las víctimas instalan la extensión, obtienen un cliente ScreenConnect completamente eficaz que inmediatamente fogosidad a la infraestructura del atacante”.
Es más, la extensión incorpora un mecanismo marginal que recupera una DLL listada en “config.json” y la descarga para obtener la misma carga útil de Dropbox. La DLL (“DWrite.dll”), escrita en Rust, garantiza que el cliente ScreenConnect se entregue incluso si la infraestructura de comando y control (C2) se vuelve inaccesible.
Este no es el único mecanismo de respaldo incorporado en la extensión para la entrega de carga útil. La extensión falsa de Moltbot asimismo incorpora URL codificadas para descargar el ejecutable y la DLL. Un segundo método marginal implica el uso de un script por lotes para obtener las cargas aperos de un dominio diferente (“darkptprivate(.)com”).
Los riesgos de seguridad con Moltbot
La divulgación se produce cuando el investigador de seguridad y fundador de Dvuln, Jamieson O’Reilly, encontró cientos de instancias de Moltbot no autenticadas en estría, exponiendo datos de configuración, claves API, credenciales OAuth e historiales de conversaciones de chats privados a partes no autorizadas.
“El definitivo problema es que los agentes de Clawdbot tienen agencia”, explicó O’Reilly. “Pueden despachar mensajes en nombre de los usuarios a través de Telegram, Slack, Discord, Signal y WhatsApp. Pueden ejecutar herramientas y ejecutar comandos”.
Esto, a su vez, abre la puerta a un decorado en el que un atacante puede hacerse ocurrir por el cirujano frente a sus contactos, inyectar mensajes en conversaciones en curso, modificar las respuestas de los agentes y filtrar datos confidenciales sin su conocimiento. Más importante aún, un atacante podría distribuir una “diplomacia” de Moltbot con puerta trasera a través de MoltHub (anteriormente ClawdHub) para organizar ataques a la cautiverio de suministro y desviar datos confidenciales.
Intruder, en un disección similar, dijo que había observado errores de configuración generalizados que provocaban exposición de credenciales, vulnerabilidades de inyección rápida e instancias comprometidas en múltiples proveedores de abundancia.
“El problema central es arquitectónico: Clawdbot prioriza la facilidad de implementación sobre la configuración segura por defecto”, dijo Benjamin Marr, ingeniero de seguridad de Intruder, en un comunicado. “Los usuarios no técnicos pueden activar instancias e integrar servicios confidenciales sin encontrar ninguna fricción o moral de seguridad. No hay requisitos de firewall obligatorios, ni moral de credenciales ni aislamiento de complementos que no son de confianza”.
Se recomienda a los usuarios que ejecutan Clawdbot con configuraciones predeterminadas que auditen su configuración, revoquen todas las integraciones de servicios conectados, revisen las credenciales expuestas, implementen controles de red y supervisen signos de compromiso.
