Falsa extensão de IA Moltbot no VS Code espalha malware e garante acesso remoto a sistemas

Pesquisadores identificaram uma extensão maliciosa publicada no marketplace oficial do Microsoft Visual Studio Code (VS Code) que se passava por um assistente de programação com inteligência artificial (IA) ligado ao projeto Moltbot (antigo Clawdbot). Embora se anunciasse como uma ferramenta gratuita de apoio ao desenvolvimento, a extensão instalava silenciosamente um malware nos sistemas das vítimas, abrindo caminho para acesso remoto persistente por hackers.

Batizada de “ClawdBot Agent – AI Coding Assistant” (clawdbot.clawdbot-agent), a extensão foi publicada em 27 de janeiro de 2026 por um usuário chamado “clawdbot” e posteriormente removida pela Microsoft. O golpe se aproveitou da rápida popularidade do Moltbot, que já ultrapassou 85 mil estrelas no GitHub. O projeto open source, criado pelo desenvolvedor austríaco Peter Steinberger, permite executar um assistente de IA localmente e integrá-lo a plataformas como WhatsApp, Telegram, Slack, Discord, Microsoft Teams, entre outras. O detalhe crítico é que o Moltbot não possui uma extensão oficial para o VS Code, o que abriu espaço para a ação dos hackers.

Uma vez instalada, a extensão maliciosa era executada automaticamente a cada inicialização do ambiente de desenvolvimento. Ela baixava um arquivo config.json de um servidor externo e, a partir dele, executava um binário chamado Code.exe, responsável por instalar um software legítimo de acesso remoto, como o ConnectWise ScreenConnect. Em seguida, o programa se conectava a um servidor controlado pelos invasores, garantindo acesso remoto contínuo ao sistema comprometido.

Para facilitar a persistência do ataque, os hackers configuraram seu próprio servidor de relay do ScreenConnect e distribuíram um cliente pré-configurado por meio da extensão. Mesmo que a infraestrutura principal ficasse indisponível, a ameaça contava com múltiplos mecanismos de fallback. Entre eles, o download de uma DLL escrita em Rust (DWrite.dll), obtida via Dropbox, além de URLs codificadas diretamente na extensão e até scripts em lote que buscavam os arquivos maliciosos em outros domínios. Essa abordagem aumentava significativamente as chances de sucesso da infecção.

Além da falsa extensão, surgiram alertas sobre riscos mais amplos associados ao uso inseguro do Moltbot. Pesquisadores encontraram centenas de instâncias expostas na internet sem autenticação, revelando dados sensíveis como chaves de API, credenciais OAuth e históricos de conversas privadas. Como o Moltbot possui capacidade de agir em nome do usuário enviando mensagens, executando comandos e integrando serviços um invasor poderia se passar pelo operador, manipular conversas, exfiltrar dados sensíveis ou até distribuir “habilidades” adulteradas para realizar ataques à cadeia de suprimentos.

Segundo análises adicionais, o problema central está na arquitetura da ferramenta, que prioriza facilidade de implantação em detrimento de configurações seguras por padrão. A ausência de validações obrigatórias, controles de firewall e isolamento de plugins cria um ambiente propício para abusos, especialmente quando usuários menos técnicos integram serviços sensíveis sem compreender os riscos. Diante disso, especialistas recomendam revisar imediatamente as configurações, revogar integrações, trocar credenciais, aplicar controles de rede e monitorar sinais de comprometimento.