Cotización de descuento para licencias múltiples
Base de Datos de Amenazas Software malicioso Asistente de codificación de inteligencia artificial de...

Asistente de codificación de inteligencia artificial de Moltbot falso

Por Mezo en Software malicioso
Traducir a:

Investigadores de ciberseguridad han identificado una extensión maliciosa de Microsoft Visual Studio Code en el Marketplace oficial que se anunciaba falsamente como un asistente de programación gratuito basado en IA para Moltbot (anteriormente Clawdbot). En lugar de ofrecer una funcionalidad legítima, la extensión implementaba silenciosamente una carga dañina en los sistemas comprometidos.

La extensión, titulada «ClawdBot Agent – AI Coding Assistant» (clawdbot.clawdbot-agent), fue publicada el 27 de enero de 2026 por un usuario llamado «clawdbot». Microsoft la ha eliminado del Marketplace. Los cibercriminales aprovecharon la rápida popularidad de Moltbot para incitar a desarrolladores desprevenidos a instalar una herramienta que Moltbot no ofrece oficialmente.

Por qué Moltbot era un cebo atractivo

Moltbot ha superado las 85.000 estrellas en GitHub, impulsado por su promesa de un asistente personal de IA alojado localmente y basado en grandes modelos de lenguaje. La plataforma permite la interacción a través de servicios conocidos como WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat y clientes de chat web.

Un punto crítico que a menudo se pasa por alto es que Moltbot no cuenta con una extensión legítima de VS Code. Los atacantes aprovecharon esta vulnerabilidad introduciendo un complemento falsificado diseñado para integrarse a la perfección en el ecosistema de desarrolladores.

Del lanzamiento de IDE al control remoto completo

Una vez instalada, la extensión maliciosa se ejecutaba automáticamente cada vez que se iniciaba VS Code. Recuperaba un archivo config.json remoto de clawdbot.getintwopc.site, que le indicaba que ejecutara un binario llamado Code.exe. Este ejecutable implementaba una herramienta legítima de acceso remoto: ConnectWise ScreenConnect.

Luego, el cliente ScreenConnect instalado se conectó a meeting.bulletmailer.net:8041, proporcionando a los atacantes acceso remoto interactivo y persistente a la máquina infectada.

Tácticas de resiliencia y entrega redundantes

Los atacantes operaban su propia infraestructura de retransmisión ScreenConnect, distribuyendo un cliente preconfigurado a través de la extensión. Múltiples mecanismos de respaldo garantizaban la entrega de la carga útil incluso si fallaban los canales principales de comando y control.

Estos incluían:

  • Recuperación y carga lateral de una DLL maliciosa basada en Rust (DWrite.dll) referenciada en config.json, capaz de descargar el cliente ScreenConnect desde Dropbox.
  • Instalación lateral de DLL a través de Code.exe, que cargaría preferentemente la biblioteca maliciosa cuando se coloca en el mismo directorio.
  • URL codificadas dentro de la extensión que apuntan a ubicaciones de descarga alternativas.
  • Un método de respaldo basado en scripts por lotes que obtiene cargas útiles de darkgptprivate.com.

Un análisis más profundo indica que los atacantes anticiparon fallas operativas, ya que varios mecanismos no eran confiables pero estaban diseñados para persistencia.

La mayor exposición: Implementaciones inseguras de Moltbot

Además de la extensión maliciosa, los investigadores descubrieron cientos de instancias de Moltbot no autenticadas en línea. Estas fueron el resultado de una configuración incorrecta clásica de proxy inverso que expuso archivos de configuración, claves API, credenciales de OAuth e historiales de chat privados.

La falla se originó debido a la aprobación automática de conexiones locales por parte de Moltbot, combinada con implementaciones tras proxies inversos. El tráfico originado en Internet se trataba erróneamente como acceso local confiable, lo que permitía un control no autenticado.

Cuando los agentes de IA se convierten en servidores proxy de ataques

Los agentes de Moltbot poseen autonomía operativa. Pueden enviar mensajes en nombre de los usuarios, interactuar en las principales plataformas de mensajería, ejecutar herramientas y ejecutar comandos. Esto presenta graves riesgos si se obtiene acceso no autorizado.

  • Los agentes comprometidos pueden ser utilizados de forma indebida para:
  • Suplantar a operadores e inyectar mensajes en conversaciones privadas
  • Manipular las salidas y los flujos de trabajo del agente
  • Exfiltrar datos confidenciales de forma invisible
  • Distribuir 'habilidades' maliciosas o con puertas traseras a través de MoltHub (anteriormente ClawdHub), lo que permite ataques de estilo cadena de suministro

Las configuraciones erróneas generalizadas ya han creado condiciones propicias para la fuga de credenciales, el abuso de inyección rápida y escenarios de compromiso entre nubes.

Un punto débil arquitectónico

La clave del problema reside en la filosofía arquitectónica de Moltbot. La plataforma prioriza una implementación sin complicaciones sobre los valores predeterminados reforzados. Los usuarios pueden integrar rápidamente servicios empresariales sensibles sin necesidad de firewalls forzados, validación de credenciales ni sandbox de plugins.

Los profesionales de seguridad advierten que el acceso profundo de Moltbot a los sistemas empresariales, a menudo desde dispositivos personales no administrados fuera de los perímetros de seguridad tradicionales, crea puntos de control de alto impacto cuando se configuran incorrectamente. La ausencia de sandboxing y el almacenamiento de memoria a largo plazo y credenciales en texto plano hacen de Moltbot un objetivo especialmente atractivo.

Si un atacante compromete el equipo host, no se necesitan técnicas avanzadas. Los ladrones de información modernos extraen rutinariamente directorios conocidos para obtener tokens, claves API, registros y datos de configuración de desarrolladores. Cuando estos recursos se almacenan sin cifrar, pueden exfiltrarse en segundos.

Los investigadores ya han observado que familias de malware como servicio como RedLine, Lumma y Vidar se adaptan específicamente para atacar estructuras de directorio relacionadas con Moltbot.

Del robo de datos al compromiso cognitivo

Para los operadores de robo de información, los datos de Moltbot representan más que credenciales. Permiten lo que los investigadores describen como "robo de contexto cognitivo". El acceso a historiales de conversaciones, indicaciones del sistema y memoria a largo plazo permite a los adversarios comprender no solo los sistemas, sino también la intención operativa.

Si los atacantes también obtienen acceso de escritura, como por ejemplo a través de un troyano de acceso remoto implementado junto con un ladrón, pueden escalar hasta el secuestro del agente y el envenenamiento de la memoria, manipulando sutilmente el comportamiento, los resultados y las relaciones de confianza a lo largo del tiempo.

Medidas inmediatas de mitigación de riesgos

Se recomienda encarecidamente a las organizaciones e individuos que operan Moltbot con la configuración predeterminada que tomen medidas defensivas inmediatas:

  • Auditar todas las configuraciones y servicios expuestos.
  • Revocar y rotar cada integración y credencial conectada.
  • Revisar los sistemas para detectar señales de compromiso.
  • Aplicar controles de acceso y supervisión a nivel de red.

Sin una solución decisiva, los entornos de Moltbot siguen siendo muy susceptibles a tomas de control silenciosas, robo de datos y ataques a la cadena de suministro.

Tendencias

Mas Visto

Cargando...