Descobrem malware disfarçado de Clawdbot distribuído para VS Code
TL;DR
Pesquisadores descobriram um malware disfarçado de extensão para o Visual Studio Code, chamado ClawdBot Agent – AI Coding Assistant.
Pesquisadores descobriram um malware disfarçado de extensão para o Visual Studio Code, chamado ClawdBot Agent – AI Coding Assistant. Essa ameaça utiliza a popularidade do Moltbot, um assistente de inteligência artificial que recentemente ganhou destaque, para enganar desenvolvedores e comprometer sistemas Windows.
A extensão, que parece genuína, apresenta um ícone próprio e uma interface atrativa, prometendo acesso a sete provedores de inteligência artificial. De acordo com a pesquisa da Aikido, o plugin opera conforme anunciado, o que o torna ainda mais perigoso ao executar complementos maliciosos em segundo plano.
Após ser instalada, a extensão maliciosa inicializa automaticamente com o VS Code, sem necessitar de ação adicional do usuário. Ela faz uma solicitação externa para baixar um arquivo config.json, que serve para executar comandos e instalar o ConnectWise ScreenConnect, um software de acesso remoto.
Embora o ConnectWise ScreenConnect seja uma ferramenta legítima, nesta circunstância, ele foi modificado para atender aos interesses dos cibercriminosos. A aplicação formulada conecta-se a um endereço URL externo para garantir sua persistência no sistema afetado.
Além disso, o malware possui mecanismos de contingência. Caso o servidor de comando e controle (C2) fique fora do ar, a extensão pode recuperar uma DLL listada no config.json para manter o controle do dispositivo afetado.
A Aikido notificou a Microsoft sobre esta ameaça, que rapidamente removeu a extensão da loja oficial.
Moltbot não possui extensão oficial para VS Code
No momento, o Moltbot não tem uma extensão oficial para o Visual Studio Code. Essa lacuna oferece um ambiente propício para cibercriminosos que exploram a popularidade do assistente, visando desenvolvedores em busca de uma solução gratuita, principalmente em comparação com alternativas pagas como o GitHub Copilot.
Esse incidente ressalta a importância da cautela ao instalar extensões de qualquer fonte. Mesmo que um complemento funcione como prometido, ele pode ocultar comportamentos malévolos. Verificar a origem das extensões é fundamental antes de proceder com instalações.
Para mais alertas de segurança e informações sobre inovações tecnológicas, siga o TecMundo nas redes sociais e acompanhe nosso site para não perder atualizações.
Conteudo selecionado e editado com assistencia de IA. Fontes originais referenciadas acima.
