Malware disfarçado de Clawdbot é encontrado em distribuição para VS Code

Pesquisadores identificaram mais uma extensão maliciosa em circulação na loja oficial do Visual Studio Code. O malware se aproveita do aumento repentino de interesse em torno do Moltbot (ex-Clawdbot), uma IA agêntica que virou febre recentemente, para enganar desenvolvedores e infectar computadores com Windows.

Batizada de “ClawdBot Agent – AI Coding Assistant”, a extensão aparenta ser legítima à primeira vista. Ela conta com ícone próprio, interface bem-acabada e promete integração com sete diferentes provedores de inteligência artificial. Segundo pesquisadores da Aikido, o plugin inclusive funciona como anunciado, o que torna sua atuação em segundo plano ainda mais perigosa.

Após a instalação, a extensão maliciosa é inicializada automaticamente junto com o VS Code, sem exigir qualquer ação adicional do usuário. Em seguida, ela realiza uma solicitação externa para baixar um arquivo config.json, utilizado para executar comandos e instalar o ConnectWise ScreenConnect, um software de acesso remoto.

Embora o ConnectWise ScreenConnect seja uma ferramenta legítima, neste caso o programa foi adulterado para servir aos interesses dos criminosos. Depois disso, a aplicação estabelece conexão com um endereço URL para garantir persistência no sistema comprometido.

O malware ainda conta com mecanismos de contingência. Caso a infraestrutura do servidor de comando e controle (C2) fique indisponível, a extensão recupera uma DLL listada no config.json e a carrega manualmente, mantendo o controle sobre o computador infectado.

Os pesquisadores notificaram a Microsoft sobre a ameaça, e a empresa removeu rapidamente a extensão da loja oficial.

Moltbot não tem extensão oficial para VS Code

Atualmente, o Moltbot não possui uma extensão oficial para o Visual Studio Code. Essa ausência cria um terreno fértil para golpes, já que criminosos exploram a popularidade da ferramenta para atingir desenvolvedores em busca de uma solução gratuita, especialmente em comparação com alternativas pagas como o GitHub Copilot.

O caso também reforça um alerta importante: extensões podem funcionar exatamente como prometem, mas ainda esconder comportamentos maliciosos. Antes de instalar qualquer complemento, é fundamental verificar sua origem e se certificar de que ele faz apenas o que divulga.

Quer ficar por dentro de mais alertas de segurança, novidades sobre inteligência artificial e tecnologia em geral? Acompanhe o TecMundo nas redes sociais e siga acessando o site para não perder nenhuma atualização.