Los investigadores de ciberseguridad han señalado una nueva extensión maliciosa de Microsoft Visual Studio Code (VS Code) para Moltbot (anteriormente Clawdbot) en el Extension Marketplace oficial que afirma ser un asistente de codificación de inteligencia artificial (IA) gratuito, pero deja caer sigilosamente una carga útil maliciosa en los hosts comprometidos.
Desde entonces, Microsoft ha eliminado la extensión, denominada «ClawdBot Agent – AI Coding Assistant» («clawdbot.clawdbot-agent»). Fue publicado por un usuario llamado «clawdbot» el 27 de enero de 2026.
Moltbot ha despegado a lo grande, cruzando más de 85.000 estrellas en GitHub al momento de escribir este artículo. El proyecto de código abierto, creado por el desarrollador austriaco Peter Steinberger, permite a los usuarios ejecutar un asistente personal de inteligencia artificial impulsado por un modelo de lenguaje grande (LLM) localmente en sus propios dispositivos e interactuar con él a través de plataformas de comunicación ya establecidas como WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams y WebChat.
El aspecto más importante a tener en cuenta aquí es que Moltbot no tiene una extensión VS Code legítima, lo que significa que los actores de amenazas detrás de la actividad aprovecharon la creciente popularidad de la herramienta para engañar a los desarrolladores desprevenidos para que la instalen.
La extensión maliciosa está diseñada de manera que se ejecuta automáticamente cada vez que se inicia el entorno de desarrollo integrado (IDE), recuperando sigilosamente un archivo llamado «config.json» de un servidor externo («clawdbot.getintwopc(.)site») para ejecutar un binario llamado «Code.exe» que implementa un programa de escritorio remoto legítimo como ConnectWise ScreenConnect.
Luego, la aplicación se conecta a la URL «meeting.bulletmailer(.)net:8041», otorgando al atacante acceso remoto persistente al host comprometido.
«Los atacantes configuraron su propio servidor de retransmisión ScreenConnect, generaron un instalador de cliente preconfigurado y lo distribuyeron a través de la extensión VS Code», dijo el investigador de Aikido Charlie Eriksen. «Cuando las víctimas instalan la extensión, obtienen un cliente ScreenConnect completamente funcional que inmediatamente llama a la infraestructura del atacante».
Es más, la extensión incorpora un mecanismo alternativo que recupera una DLL listada en «config.json» y la descarga para obtener la misma carga útil de Dropbox. La DLL («DWrite.dll»), escrita en Rust, garantiza que el cliente ScreenConnect se entregue incluso si la infraestructura de comando y control (C2) se vuelve inaccesible.
Este no es el único mecanismo de respaldo incorporado en la extensión para la entrega de carga útil. La extensión falsa de Moltbot también incorpora URL codificadas para descargar el ejecutable y la DLL. Un segundo método alternativo implica el uso de un script por lotes para obtener las cargas útiles de un dominio diferente («darkptprivate(.)com»).
Los riesgos de seguridad con Moltbot
La divulgación se produce cuando el investigador de seguridad y fundador de Dvuln, Jamieson O’Reilly, encontró cientos de instancias de Moltbot no autenticadas en línea, exponiendo datos de configuración, claves API, credenciales OAuth e historiales de conversaciones de chats privados a partes no autorizadas.
«El verdadero problema es que los agentes de Clawdbot tienen agencia», explicó O’Reilly. «Pueden enviar mensajes en nombre de los usuarios a través de Telegram, Slack, Discord, Signal y WhatsApp. Pueden ejecutar herramientas y ejecutar comandos».
Esto, a su vez, abre la puerta a un escenario en el que un atacante puede hacerse pasar por el operador ante sus contactos, inyectar mensajes en conversaciones en curso, modificar las respuestas de los agentes y filtrar datos confidenciales sin su conocimiento. Más importante aún, un atacante podría distribuir una «habilidad» de Moltbot con puerta trasera a través de MoltHub (anteriormente ClawdHub) para organizar ataques a la cadena de suministro y desviar datos confidenciales.
Intruder, en un análisis similar, dijo que había observado errores de configuración generalizados que provocaban exposición de credenciales, vulnerabilidades de inyección rápida e instancias comprometidas en múltiples proveedores de nube.
«El problema central es arquitectónico: Clawdbot prioriza la facilidad de implementación sobre la configuración segura por defecto», dijo Benjamin Marr, ingeniero de seguridad de Intruder, en un comunicado. «Los usuarios no técnicos pueden activar instancias e integrar servicios confidenciales sin encontrar ninguna fricción o validación de seguridad. No hay requisitos de firewall obligatorios, ni validación de credenciales ni aislamiento de complementos que no son de confianza».
Se recomienda a los usuarios que ejecutan Clawdbot con configuraciones predeterminadas que auditen su configuración, revoquen todas las integraciones de servicios conectados, revisen las credenciales expuestas, implementen controles de red y supervisen signos de compromiso.