Các nhà nghiên cứu an ninh mạng đã cảnh báo về một tiện ích mở rộng Microsoft Visual Studio Code (VS Code) độc hại mới dành cho Moltbot (trước đây là Clawdbot) trên Extension Marketplace chính thức. Tiện ích này tự nhận là trợ lý mã hóa AI miễn phí nhưng lại lén lút cài đặt một payload độc hại lên các máy chủ bị xâm nhập.
Tiện ích có tên "ClawdBot Agent - AI Coding Assistant" ("clawdbot.clawdbot-agent") đã bị Microsoft gỡ xuống. Nó được xuất bản bởi một người dùng tên "clawdbot" vào ngày 27 tháng 1 năm 2026.
Moltbot đã trở nên rất phổ biến, vượt qua hơn 85.000 lượt gắn sao trên GitHub tính đến thời điểm viết bài. Dự án mã nguồn mở này, được tạo bởi nhà phát triển người Áo Peter Steinberger, cho phép người dùng chạy một trợ lý AI cá nhân được cung cấp bởi một large language model (LLM) cục bộ trên thiết bị của họ và tương tác với nó thông qua các nền tảng giao tiếp đã được thiết lập như WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams và WebChat.
Điểm quan trọng nhất cần lưu ý ở đây là Moltbot không có tiện ích mở rộng VS Code hợp pháp, có nghĩa là các tác nhân đe dọa đằng sau hoạt động này đã lợi dụng sự phổ biến ngày càng tăng của công cụ để lừa các nhà phát triển không nghi ngờ cài đặt nó.
Tiện ích mở rộng độc hại được thiết kế để tự động thực thi mỗi khi môi trường phát triển tích hợp (IDE) được khởi chạy, lén lút truy xuất một tệp tên "config.json" từ một máy chủ bên ngoài ("clawdbot.getintwopc[.]site") để thực thi một binary tên "Code.exe" triển khai một chương trình remote desktop hợp pháp như ConnectWise ScreenConnect.
Ứng dụng sau đó kết nối với URL "meeting.bulletmailer[.]net:8041," cấp cho kẻ tấn công quyền remote access liên tục vào máy chủ bị xâm nhập.
"Các đối tượng tấn công đã thiết lập máy chủ chuyển tiếp ScreenConnect riêng của chúng, tạo ra một trình cài đặt client được cấu hình sẵn và phân phối nó thông qua tiện ích mở rộng VS Code," nhà nghiên cứu Charlie Eriksen từ Aikido cho biết. "Khi nạn nhân cài đặt tiện ích mở rộng này, họ sẽ có một client ScreenConnect đầy đủ chức năng và ngay lập tức gửi thông tin về hạ tầng của kẻ tấn công."
Hơn nữa, tiện ích mở rộng này còn tích hợp một cơ chế dự phòng để truy xuất một DLL được liệt kê trong "config.json" và sideload nó để lấy cùng một payload từ Dropbox. DLL ("DWrite.dll"), được viết bằng Rust, đảm bảo rằng client ScreenConnect được phân phối ngay cả khi hạ tầng command-and-control (C2) không thể truy cập được.
Đây không phải là cơ chế dự phòng duy nhất được tích hợp trong tiện ích mở rộng để phân phối payload. Tiện ích mở rộng Moltbot giả mạo cũng nhúng các URL hard-coded để lấy executable và DLL được sideload. Một phương pháp thay thế thứ hai liên quan đến việc sử dụng một batch script để lấy các payload từ một domain khác ("darkgptprivate[.]com").
Các rủi ro bảo mật với Moltbot
Thông tin này được đưa ra khi nhà nghiên cứu bảo mật và người sáng lập Dvuln, Jamieson O'Reilly, tìm thấy hàng trăm phiên bản Moltbot không được xác thực trực tuyến, làm lộ dữ liệu cấu hình, API keys, OAuth credentials và lịch sử cuộc trò chuyện từ các cuộc trò chuyện riêng tư cho các bên không được phép.
"Vấn đề thực sự là các tác nhân của Clawdbot có khả năng tự chủ," O'Reilly giải thích. "Chúng có thể gửi tin nhắn thay mặt người dùng trên Telegram, Slack, Discord, Signal và WhatsApp. Chúng có thể thực thi các công cụ và chạy lệnh."
Điều này, đến lượt nó, mở ra một kịch bản mà kẻ tấn công có thể mạo danh người vận hành để liên lạc với các đối tượng của họ, chèn tin nhắn vào các cuộc trò chuyện đang diễn ra, sửa đổi phản hồi của tác nhân và trích xuất dữ liệu nhạy cảm mà không bị phát hiện. Quan trọng hơn, kẻ tấn công có thể phân phối một Moltbot "skill" có backdoor thông qua MoltHub (trước đây là ClawdHub) để thực hiện các cuộc tấn công supply chain và đánh cắp dữ liệu nhạy cảm.
Intruder, trong một phân tích tương tự, cho biết họ đã quan sát thấy các cấu hình sai phổ biến dẫn đến việc lộ credential, các lỗ hổng prompt injection và các phiên bản bị xâm nhập trên nhiều cloud providers.
"Vấn đề cốt lõi nằm ở kiến trúc: Clawdbot ưu tiên tính dễ triển khai hơn là cấu hình bảo mật mặc định," Benjamin Marr, kỹ sư bảo mật tại Intruder, cho biết trong một tuyên bố. "Người dùng không chuyên về kỹ thuật có thể khởi tạo các phiên bản và tích hợp các dịch vụ nhạy cảm mà không gặp bất kỳ rào cản hoặc xác thực bảo mật nào. Không có yêu cầu firewall bắt buộc, không xác thực thông tin đăng nhập và không có sandbox cho các plugin không đáng tin cậy."
Người dùng đang chạy Clawdbot với cấu hình mặc định được khuyến nghị kiểm tra cấu hình của họ, thu hồi tất cả các tích hợp dịch vụ đã kết nối, xem xét các credential bị lộ, triển khai các kiểm soát mạng và giám sát các dấu hiệu bị xâm nhập.
