文章总结： 研究人员发现VSCode商店存在恶意扩展ClawdBotAgent，伪装AI助手Moltbot投放恶意软件。该扩展利用DLL侧载等机制部署远程访问木马获取主机控制。同时Moltbot因配置缺陷导致凭证泄露。建议用户审查配置、撤销集成并监控入侵迹象，防范供应链攻击与数据窃取。 综合评分： 93 文章分类： 恶意软件,威胁情报,供应链安全,应用安全

VS Code 应用商店中的虚假 Moltbot AI 编码助手投放恶意软件

Rhinoer Rhinoer

犀牛安全

2026年2月2日 00:00 北京

网络安全研究人员在官方扩展市场中发现了一个新的恶意 Microsoft Visual Studio Code (VS Code) 扩展程序，该扩展程序名为Moltbot（以前称为 Clawdbot），声称是一个免费的人工智能 (AI) 编码助手，但会在受感染的主机上悄悄投放恶意有效载荷。

该扩展程序名为“ClawdBot Agent – AI Coding Assistant”（“clawdbot.clawdbot-agent”），已被微软移除。它由名为“clawdbot”的用户于2026年1月27日发布。

Moltbot 迅速走红，截至发稿时，其在 GitHub 上的星标数已超过 85,000 个。这个由奥地利开发者 Peter Steinberger 创建的开源项目，允许用户在自己的设备上本地运行由大型语言模型 (LLM) 驱动的个人 AI 助手，并通过 WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage、Microsoft Teams 和 WebChat 等现有通信平台与其进行交互。

这里最需要注意的是，Moltbot 没有合法的 VS Code 扩展，这意味着该活动背后的威胁行为者利用了该工具日益增长的受欢迎程度，诱骗毫无戒心的开发人员安装它。

该恶意扩展程序被设计成每次启动集成开发环境 (IDE) 时自动执行，悄悄地从外部服务器 (“clawdbot.getintwopc[.]site”) 获取名为“config.json”的文件，以执行名为“Code.exe”的二进制文件，从而部署合法的远程桌面程序，例如 ConnectWise ScreenConnect。

然后，该应用程序连接到 URL“meeting.bulletmailer[.]net:8041”，从而授予攻击者对受感染主机的持久远程访问权限。

“攻击者搭建了自己的 ScreenConnect 中继服务器，生成了一个预配置的客户端安装程序，并通过 VS Code 扩展程序进行分发，”Aikido 研究员 Charlie Eriksen 说。“受害者安装该扩展程序后，就会获得一个功能齐全的 ScreenConnect 客户端，该客户端会立即连接到攻击者的基础设施。”

此外，该扩展程序还包含一个备用机制，它会检索“config.json”中列出的 DLL 文件并将其侧载，从而从 Dropbox 获取相同的有效负载。这个用 Rust 编写的 DLL 文件（“DWrite.dll”）确保即使命令与控制 (C2) 基础架构无法访问，ScreenConnect 客户端也能正常运行。

“更深入的有效载荷分析表明，攻击者预料到了失败，而且几种传播方式都无法可靠地工作，”埃里克森告诉《黑客新闻》，“也就是说，‘code.exe’似乎会加载‘DWrite.dll’（使用DLL侧加载），当两者位于同一目录时，恶意DLL很可能默认加载。”

这并非该扩展程序中唯一用于有效载荷传递的备份机制。伪造的 Moltbot 扩展程序还会嵌入硬编码的 URL，以便获取可执行文件和 DLL 文件进行侧载。另一种方法是使用批处理脚本从不同的域名（“darkgptprivate[.]com”）获取有效载荷。Moltbot 的安全风险

安全研究员兼 Dvuln 创始人 Jamieson O’Reilly 发现数百个未经身份验证的 Moltbot 实例在线，原因是“经典”的反向代理配置错误，导致配置数据、API 密钥、OAuth 凭据和私人聊天记录暴露给未经授权的第三方。

问题源于 Moltbot 自动批准“本地”连接，以及反向代理后面的部署导致互联网连接被视为本地连接，因此被视为可信连接并自动批准未经身份验证的访问。

奥莱利解释说： “真正的问题在于 Clawdbot 代理拥有自主权。它们可以代表用户在 Telegram、Slack、Discord、Signal 和 WhatsApp 上发送消息。它们可以执行工具和运行命令。”

这反过来又为攻击者冒充运营商联系其联系人、在正在进行的对话中注入消息、修改代理回复以及在运营商不知情的情况下窃取敏感数据打开了方便之门。更严重的是，攻击者可以通过MoltHub （原 ClawdHub）分发带有后门的 Moltbot“技能”，从而发起供应链攻击并窃取敏感数据。

Intruder 在类似的分析中表示，他们观察到广泛的配置错误，导致凭证泄露、提示注入漏洞以及多个云提供商的实例遭到入侵。

Intruder 的安全工程师 Benjamin Marr 在一份声明中表示：“核心问题在于架构：Clawdbot 优先考虑的是易于部署，而不是默认安全配置。非技术用户可以快速启动实例并集成敏感服务，而不会遇到任何安全方面的阻碍或验证。它没有强制防火墙要求，没有凭证验证，也没有对不受信任的插件进行沙箱隔离。”

建议使用默认配置运行 Clawdbot 的用户审核其配置，撤销所有已连接的服务集成，检查已暴露的凭据，实施网络控制，并监控是否存在入侵迹象。

更新

1Password、Hudson Rock和Token Security也提出了使用 Moltbot 可能带来的潜在危险，指出 Moltbot 对安全边界之外的未受管理的个人设备上的敏感企业系统拥有“深度、毫不掩饰的访问权限”，如果配置错误，这些系统可能会成为“高影响控制点”。

Token Security 表示，其 22% 的客户的员工在其组织内积极使用 Clawdbot，并补充说，该平台缺乏沙箱机制，并且使用明文存储“记忆”和凭证，使其成为攻击者窃取敏感企业数据的理想目标。

1Password 表示：“如果攻击者攻破了运行 MoltBot 的同一台机器，他们无需进行任何花哨的操作。现代信息窃取程序会抓取常用目录，并窃取任何看起来像是凭据、令牌、会话日志或开发者配置的信息。如果您的代理程序以明文形式将 API 密钥、Webhook 令牌、会话记录和长期记忆存储在已知位置，信息窃取程序可以在几秒钟内获取所有信息。”

Hudson Rock 还指出，它“看到主要的恶意软件即服务 (MaaS) 系列（如 RedLine、Lumma 和 Vidar）进行了特定的调整，以针对这些目录结构窃取信息。

“对于信息窃取者来说，这些数据是独一无二的。这不仅仅是窃取密码的问题，而是认知上下文窃取的问题，”报告指出。“威胁不仅仅是数据泄露，还包括代理劫持。如果攻击者获得写入权限（例如，通过与窃取程序一同部署的远程访问木马），他们就可以进行‘内存投毒’。”

信息来源：ThehackerNews

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：犀牛安全 Rhinoer Rhinoer《VS Code 应用商店中的虚假 Moltbot AI 编码助手投放恶意软件》