Découverte d'un malware déguisé en Clawdbot distribué pour VS Code
TL;DR
Des chercheurs ont découvert un malware déguisé en extension pour Visual Studio Code, appelé ClawdBot Agent – AI Coding Assistant.
Des chercheurs ont découvert un malware déguisé en extension pour Visual Studio Code, appelé ClawdBot Agent – AI Coding Assistant. Cette menace utilise la popularité de Moltbot, un assistant d'intelligence artificielle récemment en vogue, pour tromper les développeurs et compromettre les systèmes Windows.
L'extension, qui semble authentique, présente une icône propre et une interface attrayante, promettant l'accès à sept fournisseurs d'intelligence artificielle. Selon la recherche d'Aikido, le plugin fonctionne comme annoncé, ce qui le rend encore plus dangereux en exécutant des compléments malveillants en arrière-plan.
Après avoir été installée, l'extension malveillante s'initialise automatiquement avec VS Code, sans nécessiter d'action supplémentaire de l'utilisateur. Elle effectue une requête externe pour télécharger un fichier config.json, qui sert à exécuter des commandes et installer ConnectWise ScreenConnect, un logiciel d'accès à distance.
Bien que ConnectWise ScreenConnect soit un outil légitime, dans ce cas, il a été modifié pour servir les intérêts des cybercriminels. L'application formulée se connecte à une adresse URL externe pour garantir sa persistance dans le système affecté.
De plus, le malware possède des mécanismes de contingence. Si le serveur de commande et de contrôle (C2) tombe hors ligne, l'extension peut récupérer une DLL répertoriée dans le config.json pour maintenir le contrôle de l'appareil affecté.
Aikido a informé Microsoft de cette menace, qui a rapidement retiré l'extension du magasin officiel.
Moltbot n'a pas d'extension officielle pour VS Code
Pour l'instant, Moltbot n'a pas d'extension officielle pour Visual Studio Code. Ce vide offre un environnement propice aux cybercriminels qui exploitent la popularité de l'assistant, ciblant les développeurs à la recherche d'une solution gratuite, surtout par rapport à des alternatives payantes comme GitHub Copilot.
Cette incident souligne l'importance de la prudence lors de l'installation d'extensions provenant de n'importe quelle source. Même si un complément fonctionne comme promis, il peut masquer des comportements malveillants. Vérifier l'origine des extensions est essentiel avant de procéder à des installations.
Pour plus d'alerte de sécurité et d'informations sur les innovations technologiques, suivez TecMundo sur les réseaux sociaux et restez connecté à notre site pour ne pas manquer les mises à jour.
Contenu selectionne et edite avec assistance IA. Sources originales referencees ci-dessus.
