Angebot für Mehrfachlizenz-Rabatt
Bedrohungsdatenbank Malware Gefälschter Moltbot KI-Programmierassistent

Gefälschter Moltbot KI-Programmierassistent

Von Mezo in Malware
Übersetzen Sie in:

Cybersicherheitsforscher haben eine schädliche Microsoft Visual Studio Code-Erweiterung im offiziellen Marketplace entdeckt, die sich fälschlicherweise als kostenloser KI-gestützter Programmierassistent für Moltbot (ehemals Clawdbot) ausgab. Anstatt legitime Funktionen bereitzustellen, installierte die Erweiterung unbemerkt Schadsoftware auf kompromittierten Systemen.

Die Erweiterung mit dem Titel „ClawdBot Agent – KI-Programmierassistent“ (clawdbot.clawdbot-agent) wurde am 27. Januar 2026 von einem Nutzer namens „clawdbot“ veröffentlicht. Microsoft hat sie inzwischen aus dem Marketplace entfernt. Cyberkriminelle nutzten Moltbots rasante Popularität aus, um ahnungslose Entwickler zur Installation eines Tools zu verleiten, das Moltbot selbst nicht offiziell anbietet.

Warum Moltbot ein attraktiver Köder war

Moltbot hat auf GitHub die Marke von 85.000 Sternen überschritten, angetrieben von seinem Versprechen eines lokal gehosteten, persönlichen KI-Assistenten, der auf großen Sprachmodellen basiert. Die Plattform ermöglicht die Interaktion über bekannte Dienste wie WhatsApp, Telegram, Slack, Discord, Signal, iMessage, Microsoft Teams, Google Chat und webbasierte Chat-Clients.

Ein oft übersehener, entscheidender Punkt ist, dass Moltbot keine offizielle VS Code-Erweiterung besitzt. Angreifer nutzten diese Lücke aus, indem sie ein gefälschtes Plugin einführten, das sich nahtlos in die Entwicklerumgebung einfügte.

Von der IDE-Einführung bis zur vollständigen Fernsteuerung

Nach der Installation wurde die schädliche Erweiterung bei jedem Start von VS Code automatisch ausgeführt. Sie lud eine externe config.json-Datei von clawdbot.getintwopc.site herunter, die die Erweiterung anwies, eine Binärdatei namens Code.exe auszuführen. Diese ausführbare Datei startete ein legitimes Fernzugriffstool: ConnectWise ScreenConnect.

Der installierte ScreenConnect-Client stellte dann eine Verbindung zu meeting.bulletmailer.net:8041 her und ermöglichte den Angreifern so einen dauerhaften, interaktiven Fernzugriff auf den infizierten Rechner.

Redundante Liefer- und Resilienztaktiken

Die Angreifer betrieben ihre eigene ScreenConnect-Relay-Infrastruktur und verteilten einen vorkonfigurierten Client über die Erweiterung. Mehrere Ausweichmechanismen stellten die Zustellung der Nutzdaten sicher, selbst wenn die primären Befehls- und Kontrollkanäle ausfielen.

Dazu gehörten:

  • Abrufen und seitliches Laden einer in config.json referenzierten, in Rust geschriebenen bösartigen DLL (DWrite.dll), die in der Lage ist, den ScreenConnect-Client von Dropbox herunterzuladen.
  • DLL-Sideloading über Code.exe, wodurch die schädliche Bibliothek bevorzugt geladen würde, wenn sie sich im selben Verzeichnis befindet.
  • Fest codierte URLs innerhalb der Erweiterung, die auf alternative Download-Speicherorte verweisen.
  • Eine auf Batch-Skripten basierende Backup-Methode, die Nutzdaten von darkgptprivate.com bezieht.

Eine genauere Analyse deutet darauf hin, dass die Angreifer operative Ausfälle erwarteten, da mehrere Mechanismen zwar unzuverlässig, aber dennoch auf Persistenz ausgelegt waren.

Das größere Risiko: Unsichere Moltbot-Implementierungen

Neben der schädlichen Erweiterung entdeckten die Forscher Hunderte nicht authentifizierter Moltbot-Instanzen im Internet. Diese waren das Ergebnis einer klassischen Fehlkonfiguration eines Reverse-Proxys, wodurch Konfigurationsdateien, API-Schlüssel, OAuth-Zugangsdaten und private Chatverläufe offengelegt wurden.

Der Fehler entstand durch Moltbots automatische Genehmigung von „lokalen“ Verbindungen in Kombination mit dem Einsatz hinter Reverse-Proxys. Internetbasierter Datenverkehr wurde fälschlicherweise als vertrauenswürdiger lokaler Zugriff behandelt, was eine unauthentifizierte Steuerung ermöglichte.

Wenn KI-Agenten zu Angriffs-Proxys werden

Moltbot-Agenten agieren autonom. Sie können im Namen von Nutzern Nachrichten versenden, über gängige Messaging-Plattformen interagieren, Tools ausführen und Befehle abwickeln. Dies birgt erhebliche Risiken bei unbefugtem Zugriff.

  • Kompromittierte Agenten können missbraucht werden, um:
  • Sich als Telefonisten ausgeben und Nachrichten in private Unterhaltungen einschleusen
  • Agentenausgaben und Arbeitsabläufe manipulieren
  • Sensible Daten unbemerkt exfiltrieren
  • Verbreitung von bösartigen oder mit Hintertüren versehenen „Fähigkeiten“ über MoltHub (ehemals ClawdHub), wodurch Angriffe im Stil von Lieferkettenangriffen ermöglicht werden.

Weit verbreitete Fehlkonfigurationen haben bereits Bedingungen geschaffen, die anfällig für den Diebstahl von Zugangsdaten, den Missbrauch von Prompt-Injection und Cloud-übergreifende Kompromittierungsszenarien sind.

Eine architektonische Schwachstelle

Im Kern des Problems liegt die Architekturphilosophie von Moltbot. Die Plattform priorisiert eine reibungslose Bereitstellung gegenüber harten Standardeinstellungen. Benutzer können sensible Unternehmensdienste schnell integrieren, ohne dass Firewalls, Anmeldeinformationsvalidierung oder Plugin-Sandboxing erzwungen werden.

Sicherheitsexperten warnen davor, dass Moltbots umfassender Zugriff auf Unternehmenssysteme, oft von ungeschützten Privatgeräten außerhalb herkömmlicher Sicherheitsperimeter, bei Fehlkonfigurationen schwerwiegende Sicherheitslücken schafft. Das Fehlen einer Sandbox und die Speicherung von Langzeitdaten und Anmeldeinformationen im Klartext machen Moltbot zu einem besonders attraktiven Ziel.

Wenn ein Angreifer den Host-Rechner kompromittiert, sind fortgeschrittene Techniken nicht erforderlich. Moderne Datendiebe sammeln routinemäßig bekannte Verzeichnisse nach Tokens, API-Schlüsseln, Protokollen und Entwicklerkonfigurationsdaten. Werden diese Daten unverschlüsselt gespeichert, können sie innerhalb von Sekunden exfiltriert werden.

Forscher haben bereits beobachtet, dass Malware-as-a-Service-Familien wie RedLine, Lumma und Vidar sich speziell darauf spezialisiert haben, Moltbot-bezogene Verzeichnisstrukturen ins Visier zu nehmen.

Von Datendiebstahl bis hin zu kognitiven Beeinträchtigungen

Für Infostealer-Betreiber stellen Moltbot-Daten mehr als nur Zugangsdaten dar. Sie ermöglichen das, was Forscher als „kognitiven Kontextdiebstahl“ bezeichnen. Der Zugriff auf Gesprächsverläufe, Systemaufforderungen und das Langzeitgedächtnis erlaubt es Angreifern, nicht nur Systeme, sondern auch operative Absichten zu verstehen.

Wenn Angreifer auch Schreibzugriff erlangen, beispielsweise durch einen Remote-Access-Trojaner, der zusammen mit einem Stealer eingesetzt wird, können sie bis hin zur Übernahme von Agenten und zur Speichervergiftung eskalieren und so im Laufe der Zeit subtil das Verhalten, die Ausgaben und die Vertrauensbeziehungen manipulieren.

Sofortige Risikominderungsmaßnahmen

Organisationen und Einzelpersonen, die Moltbot mit den Standardeinstellungen betreiben, werden dringend gebeten, unverzüglich Schutzmaßnahmen zu ergreifen:

  • Überprüfen Sie alle Konfigurationen und freigegebenen Dienste.
  • Alle verbundenen Integrationen und Anmeldeinformationen widerrufen und neu zuweisen.
  • Überprüfen Sie die Systeme auf Anzeichen von Kompromittierung.
  • Zugriffskontrollen und Überwachung auf Netzwerkebene durchsetzen.

Ohne entschiedene Gegenmaßnahmen bleiben Moltbot-Umgebungen weiterhin hochgradig anfällig für stille Übernahmen, Datendiebstahl und Angriffe auf die nachgelagerte Lieferkette.

Im Trend

Am häufigsten gesehen

Wird geladen...