Descubren malware disfrazado de Clawdbot distribuido para VS Code
TL;DR
Investigadores han descubierto un malware disfrazado de extensión para Visual Studio Code, llamado ClawdBot Agent – AI Coding Assistant, que utiliza la popularidad de Moltbot para engañar a los desarrolladores.
Investigadores han descubierto un malware disfrazado de extensión para Visual Studio Code, llamado ClawdBot Agent – AI Coding Assistant. Esta amenaza utiliza la popularidad de Moltbot, un asistente de inteligencia artificial que recientemente ha ganado notoriedad, para engañar a los desarrolladores y comprometer sistemas Windows.
La extensión, que parece genuina, presenta un icono propio y una interfaz atractiva, prometiendo acceso a siete proveedores de inteligencia artificial. Según la investigación de Aikido, el plugin opera tal como se anuncia, lo que lo hace aún más peligroso al ejecutar complementos maliciosos en segundo plano.
Después de ser instalada, la extensión maliciosa se inicializa automáticamente con VS Code, sin necesidad de acción adicional por parte del usuario. Realiza una solicitud externa para descargar un archivo config.json, que sirve para ejecutar comandos e instalar ConnectWise ScreenConnect, un software de acceso remoto.
Si bien ConnectWise ScreenConnect es una herramienta legítima, en esta circunstancia ha sido modificada para atender los intereses de los ciberdelincuentes. La aplicación formulada se conecta a una dirección URL externa para asegurar su persistencia en el sistema afectado.
Además, el malware cuenta con mecanismos de contingencia. Si el servidor de comando y control (C2) se desconecta, la extensión puede recuperar un DLL listado en config.json para mantener el control del dispositivo afectado.
Aikido notificó a Microsoft sobre esta amenaza, que rápidamente eliminó la extensión de la tienda oficial.
Moltbot no tiene extensión oficial para VS Code
Actualmente, Moltbot no tiene una extensión oficial para Visual Studio Code. Esta brecha ofrece un entorno propicio para los ciberdelincuentes que explotan la popularidad del asistente, apuntando a desarrolladores que buscan una solución gratuita, especialmente en comparación con alternativas de pago como GitHub Copilot.
Este incidente subraya la importancia de la cautela al instalar extensiones de cualquier fuente. Incluso si un complemento funciona como se prometió, puede ocultar comportamientos maliciosos. Verificar el origen de las extensiones es fundamental antes de proceder con las instalaciones.
Para más alertas de seguridad e información sobre innovaciones tecnológicas, sigue a TecMundo en las redes sociales y visita nuestro sitio web para no perder actualizaciones.
Contenido seleccionado y editado con asistencia de IA. Fuentes originales referenciadas arriba.
