サイバーニュース.jp

世界のサイバーなニュースを配信

【速報】偽のMoltbot AIコーディングアシスタントがVS Codeマーケットプレイスでマルウェアを配布

カテゴリ:

偽のMoltbot拡張機能がマルウェアをドロップ

サイバーセキュリティ研究者たちは、Microsoft Visual Studio Code(VS Code)の公式Extension Marketplace上で、「ClawdBot Agent – AI Coding Assistant」(「clawdbot.clawdbot-agent」)と称する悪意ある拡張機能が発見されたと警告しています。この拡張機能は、無料のAIコーディングアシスタントを謳いながら、密かにマルウェアを感染したホストにドロップするものでした。この拡張機能は「clawdbot」というユーザーによって2026年1月27日に公開されましたが、その後Microsoftによって削除されています。

Moltbot(Clawdbot)とは?正規ツールとの混同に注意

Moltbotは、オープンソースのプロジェクトとして85,000以上のGitHubスターを獲得するなど、近年大きな注目を集めています。オーストリアの開発者Peter Steinbergerによって作成されたこのツールは、ユーザーが大規模言語モデル(LLM)を搭載したパーソナルAIアシスタントをローカルで実行し、WhatsApp、Telegram、Slack、Discord、Google Chat、Signal、iMessage、Microsoft Teams、WebChatなどの既存の通信プラットフォームを介して対話することを可能にします。

しかし、ここで最も重要な点は、正規のMoltbotにはVS Code拡張機能が存在しないということです。今回の脅威アクターは、このツールの人気の高まりにつけ込み、疑うことを知らない開発者を騙してインストールさせました。

マルウェアの巧妙なメカニズム

この悪意ある拡張機能は、IDEが起動されるたびに自動的に実行されるように設計されています。そして、外部サーバー(「clawdbot.getintwopc[.]site」)から「config.json」というファイルを密かに取得し、正当なリモートデスクトッププログラムであるConnectWise ScreenConnectをデプロイするバイナリ「Code.exe」を実行します。その後、アプリケーションは「meeting.bulletmailer[.]net:8041」というURLに接続し、攻撃者に侵害されたホストへの永続的なリモートアクセスを許可します。

Aikidoの研究者Charlie Eriksen氏は、「攻撃者は独自のScreenConnectリレーサーバーをセットアップし、事前設定されたクライアントインストーラーを生成し、VS Code拡張機能を介して配布しました。被害者が拡張機能をインストールすると、完全に機能するScreenConnectクライアントがすぐに攻撃者のインフラストクチャに接続します」と述べています。

複数のバックアップメカニズム

さらに、この拡張機能には複数のフォールバックメカニズムが組み込まれています。「config.json」にリストされたDLLを取得し、サイドローディングすることもあります。Rustで記述されたDLL(「DWrite.dll」)は、コマンド&コントロール(C2)インフラストラクチャが利用できなくなった場合でも、Dropboxから同じペイロードを取得してScreenConnectクライアントが配信されるようにします。また、偽のMoltbot拡張機能には、実行可能ファイルとサイドロードされるDLLを取得するためのハードコードされたURLも埋め込まれています。2番目の代替方法としては、バッチスクリプトを使用して別のドメイン(「darkgptprivate[.]com」)からペイロードを取得する手段も用意されています。

Moltbot自体の潜在的なセキュリティリスク

この開示は、セキュリティ研究者でありDvulnの創設者であるJamieson O’Reilly氏が、何百もの認証されていないMoltbotインスタンスがオンライン上に存在し、設定データ、APIキー、OAuthクレデンシャル、およびプライベートチャットからの会話履歴を不正な当事者に公開していることを発見した後に発表されました。O’Reilly氏は「Clawdbotエージェントには代理権があります。Telegram、Slack、Discord、Signal、WhatsAppを介してユーザーに代わってメッセージを送信できます。ツールを実行し、コマンドを実行できます」と説明しています。

これにより、攻撃者がオペレーターになりすまし、進行中の会話にメッセージを挿入したり、エージェントの応答を変更したり、機密データをユーザーの知らないうちに外部に持ち出したりするシナリオが発生する可能性があります。さらに深刻なことに、攻撃者はMoltHub(旧ClawdHub)を介してバックドア化されたMoltbot「スキル」を配布し、サプライチェーン攻撃を実行して機密データを奪取する可能性があります。

Intruder社は同様の分析で、資格情報の露出、プロンプトインジェクションの脆弱性、複数のクラウドプロバイダーにわたる侵害されたインスタンスにつながる広範な設定ミスを観察していると述べています。Intruder社のセキュリティエンジニアBenjamin Marr氏は、「根本的な問題はアーキテクチャにあります。Clawdbotは、デフォルトで安全な設定よりも展開の容易さを優先しています。非技術的なユーザーは、セキュリティ上の摩擦や検証なしにインスタンスを立ち上げ、機密サービスを統合できます。強制的なファイアウォール要件、資格情報検証、信頼できないプラグインのサンドボックス化は存在しません」と述べています。

Moltbotユーザーへの推奨事項

Moltbotをデフォルト設定で運用しているユーザーは、以下の対策を講じることを推奨します。

  • 設定の監査:現在の設定を詳細に確認し、潜在的な脆弱性を特定してください。
  • 接続されたサービス統合の取り消し:Moltbotに接続されているすべての外部サービスとの統合を取り消し、必要に応じて再設定してください。
  • 公開された資格情報のレビュー:APIキーやOAuthクレデンシャルなど、公開されている可能性のあるすべての資格情報を確認し、必要に応じて変更または無効化してください。
  • ネットワーク制御の実装:Moltbotインスタンスへのネットワークアクセスを制限し、不正なアクセスを防ぐためのファイアウォールルールを設定してください。
  • 侵害の兆候を監視:不審なアクティビティがないか、継続的に監視してください。

元記事: https://thehackernews.com/2026/01/fake-moltbot-ai-coding-assistant-on-vs.html

投稿をさらに読み込む