Cybersecurity-onderzoekers hebben op de officiële Extension Marketplace een nieuwe kwaadaardige Microsoft Visual Studio Code (VS Code)-extensie voor Moltbot (voorheen Clawdbot) gemarkeerd die beweert een gratis kunstmatige intelligentie (AI)-coderingsassistent te zijn, maar heimelijk een kwaadaardige lading op gecompromitteerde hosts dropt.
De extensie, genaamd “ClawdBot Agent – AI Coding Assistant” (“clawdbot.clawdbot-agent”), is inmiddels door Microsoft verwijderd. Het werd op 27 januari 2026 gepubliceerd door een gebruiker genaamd “clawdbot”.
Moltbot heeft een grote vlucht genomen en heeft op het moment van schrijven meer dan 85.000 sterren op GitHub overschreden. Het open-sourceproject, gemaakt door de Oostenrijkse ontwikkelaar Peter Steinberger, stelt gebruikers in staat een persoonlijke AI-assistent, aangedreven door een groot taalmodel (LLM), lokaal op hun eigen apparaten te gebruiken en ermee te communiceren via reeds bestaande communicatieplatforms zoals WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams en WebChat.
Het belangrijkste aspect om op te merken is dat Moltbot geen legitieme VS Code-extensie heeft, wat betekent dat de bedreigingsactoren achter de activiteit hebben geprofiteerd van de stijgende populariteit van de tool om nietsvermoedende ontwikkelaars te misleiden om deze te installeren.
De kwaadaardige extensie is zo ontworpen dat deze automatisch wordt uitgevoerd elke keer dat de geïntegreerde ontwikkelomgeving (IDE) wordt gestart, waarbij heimelijk een bestand met de naam “config.json” wordt opgehaald van een externe server (“clawdbot.getintwopc(.)site”) om een binair bestand met de naam “Code.exe” uit te voeren dat een legitiem extern bureaubladprogramma zoals ConnectWise ScreenConnect implementeert.
De applicatie maakt vervolgens verbinding met de URL “meeting.bulletmailer(.)net:8041”, waardoor de aanvaller permanente externe toegang krijgt tot de getroffen host.
“De aanvallers zetten hun eigen ScreenConnect-relayserver op, genereerden een vooraf geconfigureerd clientinstallatieprogramma en verspreidden dit via de VS Code-extensie”, zei Aikido-onderzoeker Charlie Eriksen. “Wanneer slachtoffers de extensie installeren, krijgen ze een volledig functionele ScreenConnect-client die onmiddellijk naar huis belt naar de infrastructuur van de aanvaller.”
Bovendien bevat de extensie een fallback-mechanisme dat een DLL ophaalt die wordt vermeld in “config.json” en deze sideloadt om dezelfde payload van Dropbox te verkrijgen. De DLL (“DWrite.dll”), geschreven in Rust, zorgt ervoor dat de ScreenConnect-client wordt geleverd, zelfs als de command-and-control (C2)-infrastructuur ontoegankelijk wordt.
Dit is niet het enige back-upmechanisme dat is opgenomen in de extensie voor de levering van payloads. De valse Moltbot-extensie integreert ook hardgecodeerde URL’s om het uitvoerbare bestand en de DLL te sideloaden. Een tweede alternatieve methode omvat het gebruik van een batchscript om de payloads van een ander domein te verkrijgen (“darkgptprivate(.)com”).
De veiligheidsrisico’s met Moltbot
De onthulling komt op het moment dat beveiligingsonderzoeker en Dvuln-oprichter Jamieson O’Reilly honderden niet-geverifieerde Moltbot-instanties online vond, waardoor configuratiegegevens, API-sleutels, OAuth-inloggegevens en gespreksgeschiedenis van privéchats met ongeautoriseerde partijen openbaar werden gemaakt.
“Het echte probleem is dat Clawdbot-agenten keuzevrijheid hebben”, legt O’Reilly uit. “Ze kunnen namens gebruikers berichten sturen via Telegram, Slack, Discord, Signal en WhatsApp. Ze kunnen tools uitvoeren en opdrachten uitvoeren.”
Dit opent op zijn beurt de deur naar een scenario waarin een aanvaller zich kan voordoen als de operator bij zijn contacten, berichten in lopende gesprekken kan injecteren, de reacties van agenten kan wijzigen en zonder hun medeweten gevoelige gegevens kan exfiltreren. Belangrijker nog is dat een aanvaller via MoltHub (voorheen ClawdHub) een Moltbot-vaardigheid via de achterdeur kan verspreiden om aanvallen op de toeleveringsketen te organiseren en gevoelige gegevens over te hevelen.
Intruder zei in een vergelijkbare analyse dat het wijdverbreide misconfiguraties heeft waargenomen die hebben geleid tot blootstelling aan referenties, snelle injectiekwetsbaarheden en gecompromitteerde instances bij meerdere cloudproviders.
“Het kernprobleem is architectonisch: Clawdbot geeft voorrang aan implementatiegemak boven standaard beveiligde configuratie”, zegt Benjamin Marr, beveiligingsingenieur bij Intruder, in een verklaring. “Niet-technische gebruikers kunnen instances opzetten en gevoelige services integreren zonder enige beveiligingsproblemen of validatie tegen te komen. Er zijn geen afgedwongen firewallvereisten, geen validatie van inloggegevens en geen sandboxing van niet-vertrouwde plug-ins.”
Gebruikers die Clawdbot met standaardconfiguraties gebruiken, wordt aangeraden hun configuratie te controleren, alle verbonden service-integraties in te trekken, openbaar gemaakte inloggegevens te bekijken, netwerkcontroles te implementeren en te controleren op tekenen van compromis.
