Злоумышленники воспользовались популярностью инструмента искусственного интеллекта с открытым исходным кодом для распространения вредоносного ПО через легитимную платформу. Основная стратегия атаки строилась на социальной инженерии: хакеры эксплуатировали тот факт, что у официального инструмента Moltbot отсутствовало собственное расширение для среды разработки. Создав поддельную надстройку для Microsoft Visual Studio Code, замаскированную под ассистента по написанию кода, киберпреступники добились загрузки вредоносной полезной нагрузки на компьютеры жертв для обеспечения постоянного удаленного доступа.
Вредоносное расширение получило название «ClawdBot Agent – AI Coding Assistant» и идентификатор «clawdbot.clawdbot-agent». Оно было размещено в официальном маркетплейсе расширений Visual Studio Code от имени издателя «clawdbot». Дата публикации, указанная в данных об инциденте, — 27 января 2026 года. На текущий момент компания Microsoft удалила данную надстройку из своего магазина, однако инцидент выявил серьезные пробелы в проверке публикуемого контента.
Техническая цепочка атаки была спроектирована для автоматического запуска при каждом открытии интегрированной среды разработки (IDE). Первичный метод атаки включал извлечение файла
Для обеспечения надежности заражения хакеры предусмотрели несколько резервных механизмов. Первый вариант включал использование DLL-сайдлоадинга: библиотека
Чарли Эриксен, исследователь из компании Aikido, прокомментировал техническую реализацию атаки. По его словам, злоумышленники настроили собственный сервер ретрансляции ScreenConnect и распространяли предварительно настроенный установщик клиента непосредственно через расширение, что обеспечивало возможность немедленного «звонка домой» (связи с оператором атаки) сразу после установки программного обеспечения.
Контекстом для данной атаки послужил легитимный проект Moltbot (ранее известный как Clawdbot), созданный австрийским разработчиком Питером Штайнбергером. Проект набрал более 85 000 звезд на GitHub и представляет собой инструмент с открытым исходным кодом, позволяющий пользователям запускать персонального ИИ-ассистента на базе больших языковых моделей (LLM) локально. Moltbot поддерживает интеграцию с множеством платформ, включая WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams и WebChat, а его репозиторий носит название MoltHub (ранее ClawdHub).
Помимо фейкового расширения, исследователи обнаружили значительные уязвимости в том, как пользователи разворачивают само программное обеспечение Moltbot. Джеймисон О'Рейли, основатель компании Dvuln, нашел в сети сотни неаутентифицированных экземпляров Moltbot. В открытом доступе оказались конфигурационные данные, API-ключи, учетные данные OAuth и история переписок из приватных чатов, что создает риски компрометации конфиденциальной информации.
Эксплуатация этих уязвимостей несет в себе множественные угрозы. Агенты Moltbot обладают правами на выполнение инструментов и запуск команд, что позволяет злоумышленникам действовать от имени пользователей на подключенных платформах (например, в Slack или Telegram). Существует также риск атаки на цепочку поставок через распространение бэкдоров в «навыках» через MoltHub, а также уязвимости к внедрению вредоносных промптов (Prompt Injection), что было отмечено специалистами компании Intruder.
Бенджамин Марр, инженер по безопасности в Intruder, подчеркнул, что корневая проблема заключается в приоритете простоты развертывания над конфигурацией «безопасность по умолчанию». Он отметил отсутствие требований к наличию брандмауэра, валидации учетных данных и песочницы для ненадежных плагинов как ключевые архитектурные недостатки системы, делающие ее уязвимой для внешнего вмешательства.
Пользователям, использующим Clawdbot или Moltbot с настройками по умолчанию, необходимо предпринять срочные меры. Рекомендуется провести полный аудит конфигурации, отозвать все интеграции с подключенными сервисами и пересмотреть список открытых учетных данных. Кроме того, следует внедрить строгий сетевой контроль и наладить мониторинг систем на предмет признаков компрометации для предотвращения дальнейшего несанкционированного доступа.
Изображение носит иллюстративный характер
Вредоносное расширение получило название «ClawdBot Agent – AI Coding Assistant» и идентификатор «clawdbot.clawdbot-agent». Оно было размещено в официальном маркетплейсе расширений Visual Studio Code от имени издателя «clawdbot». Дата публикации, указанная в данных об инциденте, — 27 января 2026 года. На текущий момент компания Microsoft удалила данную надстройку из своего магазина, однако инцидент выявил серьезные пробелы в проверке публикуемого контента.
Техническая цепочка атаки была спроектирована для автоматического запуска при каждом открытии интегрированной среды разработки (IDE). Первичный метод атаки включал извлечение файла
config.json с внешнего сервера clawdbot.getintwopc[.]site, после чего выполнялся бинарный файл Code.exe. Конечной целью являлось развертывание легитимной программы удаленного рабочего стола ConnectWise ScreenConnect, которая устанавливала соединение с командным сервером по адресу meeting.bulletmailer[.]net:8041, предоставляя злоумышленникам полный контроль над системой. Для обеспечения надежности заражения хакеры предусмотрели несколько резервных механизмов. Первый вариант включал использование DLL-сайдлоадинга: библиотека
DWrite.dll, написанная на языке Rust, загружалась через Dropbox, что гарантировало доставку клиента ScreenConnect даже при недоступности основной инфраструктуры управления (C2). В качестве дополнительных мер использовались жестко закодированные URL-адреса для получения исполняемых файлов и пакетный сценарий, который загружал полезную нагрузку с домена darkgptprivate[.]com. Чарли Эриксен, исследователь из компании Aikido, прокомментировал техническую реализацию атаки. По его словам, злоумышленники настроили собственный сервер ретрансляции ScreenConnect и распространяли предварительно настроенный установщик клиента непосредственно через расширение, что обеспечивало возможность немедленного «звонка домой» (связи с оператором атаки) сразу после установки программного обеспечения.
Контекстом для данной атаки послужил легитимный проект Moltbot (ранее известный как Clawdbot), созданный австрийским разработчиком Питером Штайнбергером. Проект набрал более 85 000 звезд на GitHub и представляет собой инструмент с открытым исходным кодом, позволяющий пользователям запускать персонального ИИ-ассистента на базе больших языковых моделей (LLM) локально. Moltbot поддерживает интеграцию с множеством платформ, включая WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams и WebChat, а его репозиторий носит название MoltHub (ранее ClawdHub).
Помимо фейкового расширения, исследователи обнаружили значительные уязвимости в том, как пользователи разворачивают само программное обеспечение Moltbot. Джеймисон О'Рейли, основатель компании Dvuln, нашел в сети сотни неаутентифицированных экземпляров Moltbot. В открытом доступе оказались конфигурационные данные, API-ключи, учетные данные OAuth и история переписок из приватных чатов, что создает риски компрометации конфиденциальной информации.
Эксплуатация этих уязвимостей несет в себе множественные угрозы. Агенты Moltbot обладают правами на выполнение инструментов и запуск команд, что позволяет злоумышленникам действовать от имени пользователей на подключенных платформах (например, в Slack или Telegram). Существует также риск атаки на цепочку поставок через распространение бэкдоров в «навыках» через MoltHub, а также уязвимости к внедрению вредоносных промптов (Prompt Injection), что было отмечено специалистами компании Intruder.
Бенджамин Марр, инженер по безопасности в Intruder, подчеркнул, что корневая проблема заключается в приоритете простоты развертывания над конфигурацией «безопасность по умолчанию». Он отметил отсутствие требований к наличию брандмауэра, валидации учетных данных и песочницы для ненадежных плагинов как ключевые архитектурные недостатки системы, делающие ее уязвимой для внешнего вмешательства.
Пользователям, использующим Clawdbot или Moltbot с настройками по умолчанию, необходимо предпринять срочные меры. Рекомендуется провести полный аудит конфигурации, отозвать все интеграции с подключенными сервисами и пересмотреть список открытых учетных данных. Кроме того, следует внедрить строгий сетевой контроль и наладить мониторинг систем на предмет признаков компрометации для предотвращения дальнейшего несанкционированного доступа.
