(https://i.imgur.com/ZcHsN8p.jpeg)
Investigadores en ciberseguridad han identificado una nueva extensión maliciosa en el marketplace oficial de Microsoft Visual Studio Code (VS Code) que suplanta a Moltbot, anteriormente conocido como Clawdbot. La extensión se presentaba como un asistente gratuito de programación basado en inteligencia artificial (IA), pero en realidad ejecutaba de forma sigilosa una cadena de infección diseñada para comprometer completamente los sistemas de los desarrolladores.
La extensión fraudulenta, denominada "ClawdBot Agent – AI Coding Assistant" (clawdbot.clawdbot-agent), fue publicada el 27 de enero de 2026 por un usuario llamado clawdbot y posteriormente retirada por Microsoft tras ser reportada. El incidente pone nuevamente de relieve los riesgos de seguridad en la cadena de suministro de software, incluso dentro de repositorios oficiales ampliamente utilizados por desarrolladores.
Aprovechando la popularidad de MoltbotMoltbot ha experimentado un crecimiento explosivo, superando las 85.000 estrellas en GitHub al momento de la investigación. El proyecto de código abierto, creado por el desarrollador austriaco Peter Steinberger, permite a los usuarios ejecutar un asistente personal de IA impulsado por un gran modelo de lenguaje (LLM) de forma local y comunicarse con él mediante plataformas ampliamente utilizadas como WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams y WebChat.
Un aspecto clave del ataque es que Moltbot no cuenta con una extensión legítima para VS Code. Los actores maliciosos aprovecharon esta ausencia y la creciente notoriedad del proyecto para engañar a desarrolladores desprevenidos, que asumieron erróneamente que la extensión era oficial o estaba respaldada por el proyecto original.
Ejecución automática y entrega de malwareUna vez instalada, la extensión maliciosa estaba diseñada para ejecutarse automáticamente cada vez que se iniciaba el IDE de VS Code, sin interacción adicional del usuario. En segundo plano, la extensión descargaba un archivo config.json desde un servidor externo controlado por los atacantes (clawdbot.getintwopc[.]sitio).
Este archivo configuraba la ejecución de un binario llamado Code.exe, cuya función principal era instalar una aplicación legítima de acceso remoto, ConnectWise ScreenConnect. Aunque se trata de una herramienta utilizada comúnmente para soporte técnico remoto, en este contexto se empleó como un implante de acceso persistente.
Tras su instalación, el cliente ScreenConnect se conectaba automáticamente a la infraestructura del atacante en la dirección meeting.bulletmailer[.]net:8041, otorgando a los operadores del malware control remoto completo y persistente sobre el host comprometido.
Uso de herramientas legítimas como armaSegún explicó Charlie Eriksen, investigador de seguridad en Aikido, los atacantes configuraron su propio servidor de retransmisión de ScreenConnect, generaron un instalador cliente preconfigurado y lo distribuyeron directamente a través de la extensión de VS Code.
Este enfoque encaja con la tendencia creciente de "living-off-the-land", en la que los atacantes utilizan software legítimo y firmado para evadir detecciones tradicionales, dificultando la identificación del compromiso por parte de soluciones de seguridad.
Múltiples mecanismos de respaldo para la carga útilLa extensión no dependía de un único método de entrega. Incorporaba mecanismos de respaldo sofisticados para garantizar que la carga útil se desplegara incluso si parte de la infraestructura de comando y control (C2) fallaba.
Uno de estos métodos consistía en recuperar una DLL especificada en config.json, cargarla lateralmente y obtener la misma carga útil desde Dropbox. La DLL, denominada DWrite.dll y escrita en Rust, estaba diseñada para asegurar la instalación del cliente ScreenConnect incluso si los servidores primarios dejaban de estar disponibles.
Además, la extensión incluía URLs codificadas de forma estática que permitían descargar manualmente tanto el ejecutable como la DLL. Un segundo método alternativo utilizaba un script por lotes para obtener las cargas útiles desde otro dominio controlado por los atacantes (darkgptprivate[.]com).
Riesgos estructurales de seguridad en MoltbotLa revelación coincide con investigaciones adicionales sobre debilidades de seguridad en despliegues de Moltbot. El investigador Jamieson O'Reilly, fundador de Dvuln, descubrió cientos de instancias de Moltbot accesibles sin autenticación, exponiendo datos de configuración, claves API, credenciales OAuth e historiales completos de conversaciones privadas.
"El verdadero problema es que los agentes Clawdbot tienen agencia", explicó O'Reilly. Estos agentes pueden enviar mensajes en nombre de los usuarios, ejecutar herramientas y obedecer instrucciones, lo que abre la puerta a suplantación de identidad, manipulación de conversaciones y exfiltración silenciosa de datos sensibles.
Un atacante podría incluso distribuir una 'habilidad' maliciosa a través de MoltHub (antes ClawdHub), habilitando ataques a la cadena de suministro capaces de propagarse entre múltiples usuarios y entornos.
Problemas arquitectónicos y configuraciones insegurasLa empresa Intruder confirmó hallazgos similares, observando configuraciones erróneas generalizadas, exposición de credenciales, vulnerabilidades de prompt injection y entornos comprometidos en múltiples proveedores de nube.
"El problema central es arquitectónico", afirmó Benjamin Marr, ingeniero de seguridad en Intruder. Según explicó, Clawdbot prioriza la facilidad de despliegue por encima de una configuración segura por defecto, permitiendo que usuarios no técnicos integren servicios críticos sin validaciones, sandboxing de plugins ni controles de red obligatorios.
Recomendaciones de mitigaciónSe recomienda a los usuarios que ejecutan Moltbot o Clawdbot con configuraciones predeterminadas:
- Auditar exhaustivamente la configuración del sistema
- Revocar todas las integraciones de servicios conectados
- Rotar y proteger credenciales expuestas
- Implementar controles de red y firewall estrictos
- Supervisar indicadores de compromiso y accesos no autorizados
En fin...Este incidente demuestra cómo la combinación de IA, herramientas para desarrolladores y marketplaces oficiales se ha convertido en un vector atractivo para campañas de malware avanzadas. La falsa extensión de Moltbot no solo representa un caso claro de supply chain attack, sino también una advertencia sobre la necesidad de verificación rigurosa, configuraciones seguras por defecto y controles adicionales en el ecosistema de desarrollo moderno.
Fuente: https://thehackernews.com/