A comunidade de segurança identificou uma campanha que aproveitou a popularidade do Moltbot para distribuir malware através de uma extensão fraudulenta no Marketplace do Visual Studio Code. Pesquisadores de Aikido publicaram uma análise detalhada onde descrevem como a extensão, que se fazia passar por um assistente de programação baseado em IA para Moltbot, foi subida em 27 de janeiro de 2026 por um usuário chamado "clawdbot" e depois retirada pela Microsoft. Você pode ler o relatório técnico no blog Aikido para mais detalhes técnicos e observáveis: https://www.aikido.dev/blog/fake-clawdbot-vscode-extension-malware.
É importante salientar que Moltbot, o projeto de código aberto criado por Peter Steinberger e que ganhou uma enorme tração no GitHub, não oferece uma extensão oficial para o VS Code. O projeto permite executar assistentes pessoais baseados em LLMs no próprio dispositivo e conectar plataformas como WhatsApp, Telegram, Slack, Discord ou Microsoft Teams, entre outras. Se você quiser verificar a origem e o estado do projeto, seu repositório e a página oficial estão disponíveis em GitHub e mot.bot.
De acordo com a análise técnica, a extensão maliciosa foi projetada para ser executada automaticamente ao iniciar o IDE. Seu código procurava um ficheiro de configuração remoto ("config.json") hospedado em um domínio controlado pelo atacante e, a partir dessa configuração, descarregava e executava um binário chamado "Code.exe". Esse executável não era um simples adware: desenvolvia um cliente genuíno de acesso remoto (ConnectWise ScreenConnect) pré-configurado para se comunicar com a infraestrutura do atacante, o que permitia acesso persistente à equipe comprometida.
Os autores da campanha adicionaram redundância ao seu mecanismo de entrega: a extensão podia baixar um DLL (identificado como "DWrite.dll") e realizar um sideload para conseguir o mesmo payload do Dropbox se a infraestrutura principal deixasse de estar disponível. Além disso, o código incluía URLs codificadas e um programa por lotes alternativo que recuperava os componentes de outro domínio, aumentando assim a resiliência do ataque contra bloqueios ou remoções.
Nas palavras dos pesquisadores, os atacantes montaram seu próprio servidor de relevo para o ScreenConnect e geraram instaladores cliente já configurados, de modo que a vítima, ao instalar a extensão, terminava com um cliente de administração remota que imediatamente "chamava para casa". A análise de Aikido descreve passo a passo este fluxo e traz indicadores de comprometimento e domínios observados: pormenor técnico.
Para além desta campanha concreta, emergem riscos inerentes ao ecossistema Moltbot quando não são adotadas configurações seguras por defeito. O pesquisador Jamieson O’Reilly (fundador do Dvuln) detectou centenas de instâncias de Moltbot acessíveis sem autenticação, expondo configurações, chaves API, credenciais OAuth e registros de conversas privadas. O’Reilly alertau em redes sobre o fato de que esses agentes podem atuar em nome de seus operadores em múltiplas plataformas, executar ferramentas e enviar mensagens, o que amplifica o potencial de abuso se um ator malicioso toma o controle: declarações e exemplos.
Existe também o perigo de se introduzirem competências (skills) maliciosas em repositórios comunitários, como a MoltHub, o que facilita ataques de cadeia de abastecimento: um skill comprometido poderia ser distribuído e colocado em instâncias legítimas, exfiltrando dados ou utilizando-se para suplantar a identidade do agente em contatos confiáveis. MoltHub (antes ClawdHub) e semelhantes são vetores a vigiar se a sua utilização não for controlada em ambientes produtivos: MoltHub.
Empresas de segurança como o Intruder forneceram análises complementares, indicando que a arquitetura do Moltbot favorece a facilidade de implantação acima de configurações seguras por defeito. Isso permite que usuários não especialistas montem instâncias e liguem serviços sensíveis sem validações, firewalls obrigatórios ou isolamento de plugins não confiáveis. Intruder também documenta achados de misconfigurações, exposição de credenciais e vulnerabilidades de injeção em prompts, um tipo de ataque que já está sendo estudado amplamente pela comunidade: Relatório do Intruder e contexto sobre prompt injection na IEEE Spectrum: https://spectrum.ieee.org/prompt-injection-attack.
Se você administra ou usa Moltbot, ou simplesmente trabalha com o VS Code em ambientes onde se manipulam segredos ou acessos remotos, é conveniente tomar medidas imediatas. Auditar a configuração do gateway de Moltbot, revogar integrações conectadas que não sejam imprescindíveis, rotar chaves expostas e aplicar controles de rede para limitar comunicações salientes não autorizadas são passos que muitos especialistas recomendam. A própria documentação do projecto inclui orientações de segurança que é aconselhável rever: https://docs.molt.bot/gateway/security.
No plano prático, convém verificar as extensões instaladas no VS Code e remover qualquer complemento suspeito ou não oficial, procurar processos e binários inesperados (por exemplo, "Code.exe" ou outros relacionados com clientes do ScreenConnect) e analisar o tráfego de rede em busca de conexões para domínios incomuns. Complementariamente, digitalização com ferramentas antivírus/EDR, revisão de logs e, se apropriado, análise forense são recomendável para determinar o alcance de uma possível intrusão.
Esta campanha é um lembrete nítido de que a combinação entre a popularidade de ferramentas abertas e a facilidade de implantação de extensões ou complementos cria oportunidades para atores maliciosos. A segurança em ambientes de desenvolvimento não pode ser dada por suposta: requer boas práticas, configuração segura e vigilância constante para que ferramentas que prometem produtividade não terminem abrindo a porta a um acesso remoto não autorizado.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...