La comunidad de seguridad ha identificado una campaña que aprovechó la popularidad de Moltbot para distribuir malware a través de una extensión fraudulenta en el Marketplace de Visual Studio Code. Investigadores de Aikido publicaron un análisis detallado donde describen cómo la extensión, que se hacía pasar por un asistente de programación basado en IA para Moltbot, fue subida el 27 de enero de 2026 por un usuario llamado "clawdbot" y después retirada por Microsoft. Puedes leer el informe técnico en el blog de Aikido para más detalles técnicos y observables: https://www.aikido.dev/blog/fake-clawdbot-vscode-extension-malware.
Es importante subrayar que Moltbot, el proyecto de código abierto creado por Peter Steinberger y que ha ganado una enorme tracción en GitHub, no ofrece una extensión oficial para VS Code. El proyecto permite ejecutar asistentes personales basados en LLMs en el propio dispositivo y conectarlos a plataformas como WhatsApp, Telegram, Slack, Discord o Microsoft Teams, entre otras. Si quieres comprobar el origen y el estado del proyecto, su repositorio y la página oficial están disponibles en GitHub y molt.bot.
Según el análisis técnico, la extensión maliciosa estaba diseñada para ejecutarse automáticamente al iniciar el IDE. Su código buscaba un archivo de configuración remoto ("config.json") hospedado en un dominio controlado por el atacante y, a partir de esa configuración, descargaba y ejecutaba un binario llamado "Code.exe". Ese ejecutable no era un simple adware: desplegaba un cliente genuino de acceso remoto (ConnectWise ScreenConnect) preconfigurado para comunicarse con la infraestructura del atacante, lo que permitía acceso persistente al equipo comprometido.
Los autores de la campaña añadieron redundancia a su mecanismo de entrega: la extensión podía descargar una DLL (identificada como "DWrite.dll") y realizar un sideload para conseguir el mismo payload desde Dropbox si la infraestructura principal dejaba de estar disponible. Además, el código incluía URLs codificadas y un script por lotes alternativo que recuperaba los componentes desde otro dominio, aumentando así la resiliencia del ataque frente a bloqueos o remociones.
En palabras de los investigadores, los atacantes montaron su propio servidor de relevo para ScreenConnect y generaron instaladores cliente ya configurados, de modo que la víctima, al instalar la extensión, terminaba con un cliente de administración remota que inmediatamente "llamaba a casa". El análisis de Aikido describe paso a paso este flujo y aporta indicadores de compromiso y dominios observados: detalle técnico.
Más allá de esta campaña concreta, emergen riesgos inherentes al ecosistema Moltbot cuando no se adoptan configuraciones seguras por defecto. El investigador Jamieson O’Reilly (fundador de Dvuln) detectó centenares de instancias de Moltbot accesibles sin autenticación, exponiendo configuraciones, claves API, credenciales OAuth y registros de conversaciones privadas. O’Reilly ha alertado en redes sobre el hecho de que estos agentes pueden actuar en nombre de sus operadores en múltiples plataformas, ejecutar herramientas y enviar mensajes, lo que amplifica el potencial de abuso si un actor malicioso toma el control: declaraciones y ejemplos.
También existe el peligro de que se introduzcan habilidades (skills) maliciosas en repositorios comunitarios como MoltHub, lo que facilita ataques de cadena de suministro: un skill comprometido podría ser distribuido y desplegarse en instancias legítimas, exfiltrando datos o usándose para suplantar la identidad del agente ante contactos confiables. MoltHub (antes ClawdHub) y similares son vectores a vigilar si no se controla su uso en entornos productivos: MoltHub.
Empresas de seguridad como Intruder han aportado análisis complementarios, señalando que la arquitectura de Moltbot favorece la facilidad de despliegue por encima de configuraciones seguras por defecto. Esto permite que usuarios no expertos monten instancias y conecten servicios sensibles sin validaciones, firewalls obligatorios o aislamiento de plugins no confiables. Intruder también ha documentado hallazgos de misconfiguraciones, exposición de credenciales y vulnerabilidades de inyección en prompts, un tipo de ataque que ya está siendo estudiado ampliamente por la comunidad: informe de Intruder y contexto sobre prompt injection en la IEEE Spectrum: https://spectrum.ieee.org/prompt-injection-attack.
Si administras o usas Moltbot, o simplemente trabajas con VS Code en entornos donde se manipulan secretos o accesos remotos, conviene tomar medidas inmediatas. Auditar la configuración del gateway de Moltbot, revocar integraciones conectadas que no sean imprescindibles, rotar claves expuestas y aplicar controles de red para limitar comunicaciones salientes no autorizadas son pasos que muchos expertos recomiendan. La propia documentación del proyecto incluye orientaciones de seguridad que es recomendable revisar: https://docs.molt.bot/gateway/security.
En el plano práctico, conviene verificar las extensiones instaladas en VS Code y eliminar cualquier complemento sospechoso o no oficial, buscar procesos y binarios inesperados (por ejemplo "Code.exe" u otros relacionados con clientes de ScreenConnect) y analizar el tráfico de red en busca de conexiones hacia dominios inusuales. Complementariamente, escaneos con herramientas antivirus/EDR, revisión de logs y, si procede, análisis forense son recomendables para determinar el alcance de una posible intrusión.
Esta campaña es un recordatorio nítido de que la combinación entre la popularidad de herramientas abiertas y la facilidad de desplegar extensiones o complementos crea oportunidades para actores maliciosos. La seguridad en entornos de desarrollo no puede darse por supuesta: requiere buenas prácticas, configuración segura y vigilancia constante para que herramientas que prometen productividad no terminen abriendo la puerta a un acceso remoto no autorizado.
Joven ucraniano de 18 años lidera una red de infostealers que vulneró 28.000 cuentas y dejó pérdidas de 250.000 dólares
Las autoridades ucranianas, en coordinación con agentes de EE. UU., han puesto el foco sobre una operación de infostealer que, según la Policía Cibernética de Ucrania, habría si...
RAMPART y Clarity redefinen la seguridad de los agentes de IA con pruebas reproducibles y gobernanza desde el inicio
Microsoft ha presentado dos herramientas de código abierto, RAMPART y Clarity, orientadas a cambiar la manera en que se prueba la seguridad de los agentes de IA: una que automat...
La firma digital está en jaque: Microsoft desmantela un servicio que convirtió malware en software aparentemente legítimo
Microsoft anunció la desarticulación de una operación de “malware‑signing‑as‑a‑service” que explotaba su sistema de firma de artefactos para convertir código malicioso en binari...
Un único token de workflow de GitHub abrió la puerta a la cadena de suministro de software
Un único token de workflow de GitHub falló en la rotación y abrió la puerta. Esa es la conclusión central del incidente en Grafana Labs tras la reciente oleada de paquetes malic...
Webworm 2025: el malware que se esconde en Discord y Microsoft Graph para evadir la detección
Las últimas observaciones de investigadores en ciberseguridad señalan un cambio de tácticas preocupante de un actor vinculado a China conocido como Webworm: en 2025 ha incorpora...
La identidad ya no basta: la verificación continua del dispositivo para una seguridad en tiempo real
La identidad sigue siendo la columna vertebral de muchas arquitecturas de seguridad, pero hoy esa columna está agrietándose bajo nuevas presiones: phishing avanzado, kits que pr...
La materia oscura de la identidad está cambiando las reglas de la seguridad corporativa
El informe Identity Gap: Snapshot 2026 publicado por Orchid Security pone números a una tendencia peligrosa: la "materia oscura" de identidad —cuentas y credenciales que no se v...