Les chercheurs en cybersécurité ont signalé une nouvelle extension malveillante Microsoft Visual Studio Code (VS Code) pour Moltbot (anciennement Clawdbot) sur le marché d'extension officiel qui prétend être un assistant de codage d'intelligence artificielle (IA) gratuit, mais dépose furtivement une charge utile malveillante sur les hôtes compromis.
Microsoft a depuis supprimé l'extension appelée « ClawdBot Agent – AI Coding Assistant » (« clawdbot.clawdbot-agent »). Il a été publié par un utilisateur nommé « clawdbot » le 27 janvier 2026.
Moltbot a pris un essor considérable, franchissant plus de 85 000 étoiles sur GitHub au moment de la rédaction de cet article. Le projet open source, créé par le développeur autrichien Peter Steinberger, permet aux utilisateurs d'exécuter localement sur leurs propres appareils un assistant personnel IA alimenté par un grand modèle de langage (LLM) et d'interagir avec lui via des plateformes de communication établies telles que WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams et WebChat.
L'aspect le plus important à noter ici est que Moltbot ne dispose pas d'une extension VS Code légitime, ce qui signifie que les acteurs malveillants à l'origine de l'activité ont profité de la popularité croissante de l'outil pour inciter les développeurs sans méfiance à l'installer.
L'extension malveillante est conçue de telle manière qu'elle s'exécute automatiquement à chaque démarrage de l'environnement de développement intégré (IDE), récupérant furtivement un fichier appelé « config.json » à partir d'un serveur externe (« clawdbot.getintwopc »).[.]site”) pour exécuter un binaire appelé “Code.exe” qui implémente un programme de bureau à distance légitime tel que ConnectWise ScreenConnect.
L'application se connecte ensuite à l'URL « meeting.bulletmailer[.]net:8041″, accordant à l'attaquant un accès distant persistant à l'hôte compromis.
“Les attaquants ont installé leur propre serveur relais ScreenConnect, généré un programme d'installation client préconfiguré et l'ont distribué via l'extension VS Code”, a déclaré Charlie Eriksen, chercheur en aïkido. “Lorsque les victimes installent l'extension, elles obtiennent un client ScreenConnect entièrement fonctionnel qui appelle immédiatement l'infrastructure de l'attaquant.”
De plus, l'extension intègre un mécanisme alternatif qui récupère une DLL répertoriée dans « config.json » et la télécharge pour obtenir la même charge utile Dropbox. La DLL (“DWrite.dll”), écrite en Rust, garantit que le client ScreenConnect est livré même si l'infrastructure de commande et de contrôle (C2) devient inaccessible.
Ce n'est pas le seul mécanisme de sauvegarde intégré à l'extension pour la livraison des charges utiles. La fausse extension Moltbot intègre également des URL codées en dur pour télécharger l'exécutable et la DLL. Une deuxième méthode alternative consiste à utiliser un script batch pour obtenir des charges utiles d'un domaine différent (“darkptprivate[.]com”).
Risques de sécurité avec Moltbot
La divulgation intervient alors que le chercheur en sécurité et fondateur de Dvuln, Jamieson O'Reilly, a trouvé en ligne des centaines d'instances Moltbot non authentifiées, exposant les données de configuration, les clés API, les informations d'identification OAuth et les historiques de conversations privées à des parties non autorisées.
“Le vrai problème est que les agents de Clawdbot ont du pouvoir”, a expliqué O'Reilly. “Ils peuvent envoyer des messages au nom des utilisateurs via Telegram, Slack, Discord, Signal et WhatsApp. Ils peuvent exécuter des outils et exécuter des commandes.”
Ceci, à son tour, ouvre la porte à un scénario dans lequel un attaquant peut usurper l'identité de l'opérateur auprès de ses contacts, injecter des messages dans des conversations en cours, modifier les réponses des agents et divulguer des données sensibles à leur insu. Plus important encore, un attaquant pourrait distribuer une « compétence » Moltbot détournée via MoltHub (anciennement ClawdHub) pour orchestrer des attaques sur la chaîne d'approvisionnement et siphonner des données sensibles.
Intruder, dans une analyse similaire, a déclaré avoir observé des erreurs de configuration généralisées entraînant une exposition des informations d'identification, des vulnérabilités d'injection rapide et des instances compromises chez plusieurs fournisseurs de cloud.
“Le problème principal est architectural : Clawdbot donne la priorité à la facilité de déploiement plutôt qu'à la configuration sécurisée par défaut”, a déclaré Benjamin Marr, ingénieur en sécurité chez Intruder, dans un communiqué. “Les utilisateurs non techniques peuvent créer des instances et intégrer des services sensibles sans rencontrer de frictions ni de validation de sécurité. Il n'y a aucune exigence de pare-feu obligatoire, aucune validation d'informations d'identification ou d'isolement des plugins non fiables.”
Il est conseillé aux utilisateurs exécutant Clawdbot avec des configurations par défaut d'auditer leur configuration, de révoquer toutes les intégrations de services connectés, d'examiner les informations d'identification exposées, de mettre en œuvre des contrôles réseau et de surveiller les signes de compromission.
