Extensão falsa do Moltbot no VS Code instala acesso remoto malicioso

Pacote publicado no Marketplace do Visual Studio Code se passava por assistente de IA, executava ao abrir o IDE e entregava cliente ScreenConnect configurado para infraestrutura controlada pelo operador.

Componente	Extensão `clawdbot.clawdbot-agent`, publicada como `ClawdBot Agent - AI Coding Assistant` no Marketplace do Visual Studio Code.
Vetor	Instalação voluntária de uma extensão falsa que abusava da popularidade do Moltbot e era executada automaticamente quando o IDE era iniciado.
Impacto	Entrega de um cliente ConnectWise ScreenConnect pré-configurado, com conexão para infraestrutura externa e possibilidade de acesso remoto persistente ao host comprometido.
Prioridade	Remover a extensão, isolar estáções afetadas, revisar execução de `Code.exe`, `DWrite.dll` e conexões para domínios defangados associados à cadeia.
Artefatos	`config.json`, `Code.exe`, `DWrite.dll`, `clawdbot.getintwopc[.]site`, `meeting.bulletmailer[.]net:8041` e `darkgptprivate[.]com`.

Resumo técnico

Uma extensão maliciosa para Microsoft Visual Studio Code foi publicada no Marketplace oficial se passando por um assistente de programação baseado em IA associado ao Moltbot, projeto anteriormente conhecido como Clawdbot. O pacote usava o nome ClawdBot Agent - AI Coding Assistant e o identificador clawdbot.clawdbot-agent, mas o projeto Moltbot não mantinha uma extensão legítima para VS Code. A diferença é central para a análise defensiva: o operador explorou a confiança de desenvolvedores em ferramentas de produtividade com IA para levar um componente executável a máquinas usadas em desenvolvimento, onde normalmente existem tokens, chaves de API, repositórios, clientes de nuvem e acesso a ambientes internos.

A extensão foi publicada por uma conta chamada clawdbot em 27 de janeiro de 2026 e posteriormente removida pela Microsoft. O fluxo malicioso não dependia de uma vulnerabilidade no VS Code; a condição de entrada era a instalação da extensão falsa pelo usuário. Depois disso, o pacote era desenhado para executar automaticamente sempre que o ambiente de desenvolvimento integrado fosse aberto. Essa execução recorrente transformava o próprio ciclo de trabalho do desenvolvedor em gatilho de persistência operacional, reduzindo a necessidade de interação adicional depois da instalação inicial.

O objetivo técnico observado era entregar um cliente legítimo de área de trabalho remota, o ConnectWise ScreenConnect, configurado para conectar à infraestrutura do operador. O uso de uma ferramenta legítima muda o perfil de detecção: em vez de um binário obviamente malicioso, a cadeia aciona um software de administração remota que pode parecer aceitável em algumas redes. O risco vem da configuração e do canal de controle, não apenas do nome do produto. Em estáções de desenvolvimento, esse acesso remoto pode permitir observação de sessões, interação com arquivos locais e alcance sobre credenciais já presentes no host, dentro dos limites do contexto comprometido.

Fluxo técnico

Após instalada, a extensão era carregada na inicialização do VS Code e tentava recuperar um arquivo config.json de um servidor externo identificado como clawdbot.getintwopc[.]site. Esse arquivo orientava a execução de um binário chamado Code.exe, usado na cadeia para implantar o cliente ScreenConnect. O cliente então estabelecia comunicação com meeting.bulletmailer[.]net:8041, endpoint que funcionava como infraestrutura de acesso remoto do operador. A presença de nomes que imitam componentes comuns do ecossistema de desenvolvimento, como Code.exe, aumenta o risco de confusão durante uma análise superficial de processos.

A cadeia também incorporava mecanismos de redundância para entrega do mesmo resultado. Um caminho alternativo citado no material técnico envolvia a recuperação de uma DLL listada em config.json e o carregamento lateral de DWrite.dll, escrita em Rust, para obter o payload por Dropbox caso a infraestrutura principal de comando e controle estivesse indisponível. O uso de DLL side-loading é relevante porque permite que um executável carregue uma biblioteca colocada no mesmo diretório, favorecendo execução de código controlado pelo operador sem depender de um arquivo com aparência claramente suspeita.

Além da configuração remota e do caminho com DLL, a extensão continha URLs codificadas para buscar o executável e a biblioteca. Um segundo método alternativo envolvia um script em lote para obter artefatos de darkgptprivate[.]com. O comando operacional não é necessário para defesa e deve ser omitido em playbooks públicos; o ponto defensivo é que a extensão continha múltiplos meios de recuperação de payload. Essa redundância indica que bloquear apenas um domínio ou um único arquivo pode não ser suficiente se o host já tiver executado a extensão e se artefatos secundários tiverem sido gravados em disco.

Superfície afetada

A superfície imediata são máquinas com Visual Studio Code nas quais a extensão clawdbot.clawdbot-agent tenha sido instalada antes da remoção do Marketplace. O alvo natural da campanha são desenvolvedores interessados em assistentes locais de IA e automação de mensagens, especialmente porque o Moltbot ganhou grande visibilidade pública e ultrapassava 85.000 estrelas no GitHub no momento descrito. A cadeia não exige que o usuário esteja executando uma instância legítima do Moltbot; basta que confie no nome da extensão e a instale no IDE.

O caso também expõe um segundo eixo de risco ao redor de implantações reais do Moltbot. Instâncias configuradas atrás de proxies reversos podem tratar conexões vindas da internet como se fossem locais quando a configuração faz com que o tráfego chegue ao serviço com aparência de origem confiável. Como o Moltbot autoaprova conexões consideradas locais, esse erro de arquitetura e implantação pode levar a acesso não autenticado a configurações, chaves de API, credenciais OAuth e históricos de conversas privadas. Esse problema é separado da extensão maliciosa, mas aumenta o impacto sistêmico porque a mesma marca e o mesmo ecossistema aparecem em estáções e serviços com dados sensíveis.

A exposição é mais crítica quando o agente tem permissão para enviar mensagens em nome do usuário em plataformas como Telegram, Slack, Discord, Signal, WhatsApp, Google Chat, iMessage, Microsoft Teams e WebChat. Também há risco quando o agente consegue executar ferramentas, acionar comandos ou usar integrações com serviços corporativos. Nessa condição, uma instância mal configurada pode permitir personificação do operador, alteração de respostas do agente, acesso a conversas e coleta de dados sensíveis armazenados em memória, arquivos de configuração ou integrações conectadas.

Estáções com VS Code e a extensão clawdbot.clawdbot-agent instalada.
Hosts com artefatos config.json, Code.exe ou DWrite.dll relacionados à cadeia.
Ambientes Moltbot expostos por proxy reverso que tratem conexões externas como locais.
Máquinas pessoais ou não gerenciadas com integrações de mensagens, chaves de API, tokens OAuth e memórias em texto claro.

Hunting e telemetria

A investigação deve começar pelo inventário de extensões instaladas no VS Code. Procure o identificador clawdbot.clawdbot-agent, o nome ClawdBot Agent - AI Coding Assistant e diretórios de extensão associados ao publicador clawdbot. Como a remoção do Marketplace não apaga automaticamente todos os artefatos de endpoints que já instalaram o pacote, o controle local deve verificar caches, diretórios de extensões por usuário e histórico de instalação. Em paralelo, revise eventos de criação de processo disparados a partir de caminhos do VS Code ou diretórios de extensões, com atenção a execuções de Code.exe fora do local esperado do produto legítimo.

Na camada de rede, a defesa deve buscar conexões para os domínios defangados associados à cadeia, especialmente tráfego para meeting.bulletmailer[.]net na porta 8041 e tentativas de acesso a clawdbot.getintwopc[.]site ou darkgptprivate[.]com. Também é útil procurar padrões de instalação ou inicialização de ScreenConnect que não estejam vinculados a ferramentas corporativas autorizadas. A presença de ScreenConnect não prova comprometimento por si só, mas um cliente recém-instalado, sem registro em inventário de TI e apontando para infraestrutura não corporativa, deve ser tratado como forte sinal de incidente.

Em endpoints Windows, a busca deve correlacionar gravação de DLLs chamadas DWrite.dll, execução de binários com nomes próximos a componentes legítimos e carregamento de biblioteca a partir do mesmo diretório do executável. Para ambientes com EDR, a sequência relevante inclui instalação de extensão, inicialização do VS Code, download de configuração externa, criação de processo filho e conexão de longa duração para serviço remoto. Em paralelo, instâncias reais do Moltbot devem ser revisadas por exposição pública, autenticação ausente, credenciais em texto claro e integrações que tenham sido acionadas fora do padrão normal de uso.

Identificador de extensão clawdbot.clawdbot-agent em inventário de VS Code.
Execução de Code.exe a partir de diretórios não esperados ou relacionados a extensões.
Carregamento de DWrite.dll no mesmo diretório de binários suspeitos.
Conexões para meeting.bulletmailer[.]net:8041 e domínios defangados usados como entrega alternativa.
Instalação não autorizada de cliente ScreenConnect ou sessão remota sem vínculo com administração corporativa.

Mitigação

A primeira ação é remover a extensão falsa de todos os perfis de VS Code e bloquear sua reinstalação por política de endpoint, controle de extensões ou allowlist de marketplace quando disponível. Máquinas onde a extensão esteve presente devem ser isoladas antes de qualquer limpeza agressiva, pois a cadeia pode ter estabelecido acesso remoto persistente por ScreenConnect. Depois do isolamento, colete evidências de diretórios de extensão, processos, serviços, tarefas, arquivos baixados e conexões de rede para confirmar se a execução passou da instalação da extensão para entrega do cliente remoto.

A contenção deve incluir encerramento e remoção de clientes ScreenConnect não autorizados, bloqueio dos domínios defangados na camada de DNS, proxy e firewall, e busca por config.json, Code.exe e DWrite.dll associados ao fluxo. Como a extensão usava mecanismos alternativos de entrega, a validação precisa cobrir todos os caminhos citados, incluindo URLs codificadas e obtenção de payload por Dropbox. Em estáções de desenvolvimento afetadas, credenciais locais e tokens usados em repositórios, serviços de nuvem, registries de pacotes, mensageria e CI/CD devem ser considerados expostos se houver confirmação de execução do cliente remoto.

Para implantações legítimas do Moltbot, a resposta defensiva é revisar a configuração antes de religar qualquer serviço exposto. Instâncias com configurações padrão devem ser auditadas, integrações conectadas devem ser revogadas e reemitidas quando necessário, e controles de rede devem restringir acesso administrativo a origens explícitas. Ambientes atrás de proxy reverso precisam validar cabeçalhos, origem percebida da conexão e lógica de confiança local para impedir que tráfego externo seja autoaprovado. Também é necessário revisar históricos de conversa, memórias persistidas e arquivos de configuração para verificar se há dados sensíveis armazenados sem proteção adequada.

A prevenção de recorrência depende de reduzir confiança implícita em extensões de IDE e assistentes de IA. Organizações devem manter inventário de extensões permitidas, monitorar publicação de pacotes que imitam projetos populares e exigir revisão antes de instalar ferramentas com acesso ao ambiente de desenvolvimento. Em agentes de IA com capacidade de executar ferramentas ou interagir com plataformas de mensagem, a configuração segura deve incluir autenticação, isolamento, controle de permissões, segregação entre ambiente pessoal e corporativo, e monitoramento de ações realizadas em nome do usuário.

Remover clawdbot.clawdbot-agent e verificar todos os perfis de usuário com VS Code.
Isolar hosts onde a extensão executou e preservar artefatos antes da limpeza.
Bloquear domínios defangados associados à cadeia e revisar tráfego histórico.
Remover ScreenConnect não autorizado e validar persistência ligada ao cliente remoto.
Revogar integrações, tokens e credenciais presentes em máquinas confirmadas como comprometidas.
Auditar instâncias Moltbot expostas, especialmente atrás de proxies reversos e com autoaprovação de conexões locais.

Extensão falsa do Moltbot no VS Code instala acesso remoto malicioso

Postar um comentário

0 Comentários

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Comunidade

Assuntos

Menu Footer Widget

Contato

Extensão falsa do Moltbot no VS Code instala acesso remoto malicioso

Talvez você goste destas postagens

Postar um comentário

0 Comentários

Siga o Cyber Guardian News

Mais lidas da semana

Boletim semanal reúne violações, phishing, vulnerabilidades exploradas e campanhas contra telecom

npm adiciona publicação com 2FA e controles de instalação contra ataques à cadeia de software

Recapitulação técnica reúne falhas em Linux, Defender, Drupal, roteadores e cadeia de suprimentos

Boletim semanal reúne vazamentos, ransomware, falhas críticas e abuso de IA em campanhas de phishing

Grafana expõe código-fonte após comprometimento de token em ataque ao ecossistema npm

Plantão de ameaças

Receba alertas

Briefing global de ameaças

Comunidade

Assuntos

Menu Footer Widget

Contato