นักวิจัยด้านความปลอดภัยไซเบอร์ได้ค้นพบส่วนขยาย Microsoft Visual Studio Code (VS Code) ที่เป็นอันตรายปลอมตัวเป็นผู้ช่วยเขียนโค้ด AI ‘Moltbot’ บน Extension Marketplace อย่างเป็นทางการ ส่วนขยายนี้ชื่อว่า ‘ClawdBot Agent – AI Coding Assistant’ ได้ถูกถอดออกโดย Microsoft แล้ว มันถูกออกแบบมาให้ติดตั้งมัลแวร์ ConnectWise ScreenConnect ลงบนระบบของนักพัฒนา ทำให้ผู้โจมตีสามารถเข้าถึงระบบจากระยะไกลได้อย่างต่อเนื่อง นอกจากนี้บทความยังกล่าวถึงความเสี่ยงด้านความปลอดภัยของ Moltbot เวอร์ชันจริงที่เกิดจากการตั้งค่าที่ไม่ปลอดภัย ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลสำคัญและ API keys
Severity: สูง
System Impact:
- Microsoft Visual Studio Code (VS Code)
- Integrated Development Environments (IDEs)
- Developer systems/hosts
- ConnectWise ScreenConnect (ถูกใช้เป็นมัลแวร์)
- Moltbot (แพลตฟอร์ม AI ผู้ช่วยเขียนโค้ด – สำหรับความเสี่ยงจากการตั้งค่าที่ไม่ปลอดภัย)
- Communication platforms (WhatsApp, Telegram, Slack, Discord, Google Chat, Signal, iMessage, Microsoft Teams, WebChat – ผ่าน Moltbot ที่ถูกบุกรุก)
- Dropbox (ใช้ในการจัดเก็บ payload สำรอง)
Technical Attack Steps:
- ผู้โจมตีเผยแพร่ส่วนขยาย VS Code ปลอมชื่อ ‘ClawdBot Agent – AI Coding Assistant’ บน Extension Marketplace โดยแอบอ้างเป็นผู้ช่วย AI Moltbot
- นักพัฒนาที่หลงเชื่อติดตั้งส่วนขยายนี้ ซึ่งไม่มีอยู่จริงสำหรับ Moltbot
- ส่วนขยายจะถูกเรียกใช้งานโดยอัตโนมัติทุกครั้งที่เปิด IDE (VS Code)
- ส่วนขยายจะดึงไฟล์ ‘config.json’ จากเซิร์ฟเวอร์ภายนอก (clawdbot.getintwopc[.]site)
- ไฟล์ ‘config.json’ สั่งให้รันไบนารีชื่อ ‘Code.exe’
- ‘Code.exe’ ติดตั้งโปรแกรมควบคุมระยะไกล ConnectWise ScreenConnect ที่ถูกนำมาใช้ในทางที่ผิด
- โปรแกรม ScreenConnect เชื่อมต่อกลับไปยัง URL ‘meeting.bulletmailer[.]net:8041’ เพื่อให้ผู้โจมตีสามารถเข้าถึงและควบคุมเครื่องจากระยะไกลได้อย่างต่อเนื่อง
- มีกลไกสำรอง (fallback mechanism) ในกรณีที่เซิร์ฟเวอร์หลักล่ม โดยจะดึงไฟล์ DLL ชื่อ ‘DWrite.dll’ ที่เขียนด้วย Rust จาก Dropbox เพื่อติดตั้ง ScreenConnect
- นอกจากนี้ยังมี URL แบบ hard-coded และสคริปต์ batch เพื่อดึง payload จากโดเมนสำรอง ‘darkgptprivate[.]com’
Recommendations:
Short Term:
- ลบส่วนขยาย ‘ClawdBot Agent – AI Coding Assistant’ ออกจาก VS Code ทันที หากได้ติดตั้งไปแล้ว
- ตรวจสอบระบบเพื่อหามัลแวร์ ConnectWise ScreenConnect หากไม่เคยติดตั้งโดยตั้งใจ
- ตรวจสอบบันทึกเครือข่าย (network logs) สำหรับการเชื่อมต่อไปยังโดเมน ‘clawdbot.getintwopc[.]site’, ‘meeting.bulletmailer[.]net:8041’, ‘darkgptprivate[.]com’ และ Dropbox ที่ไม่คุ้นเคย
- ผู้ใช้งาน Moltbot (เวอร์ชันจริง) ที่มีการตั้งค่าเริ่มต้น ควรตรวจสอบและแก้ไขการตั้งค่าความปลอดภัย ยกเลิกการเชื่อมต่อบริการที่ไม่จำเป็น และทบทวนข้อมูลรับรองที่อาจรั่วไหล
Long Term:
- กำหนดนโยบายและขั้นตอนการอนุมัติที่เข้มงวดสำหรับการติดตั้งส่วนขยาย IDE จาก Marketplace
- ให้ความรู้แก่นักพัฒนาเกี่ยวกับความเสี่ยงของการโจมตีซัพพลายเชนและส่วนขยายที่เป็นอันตราย
- ใช้งานโซลูชัน Endpoint Detection and Response (EDR) เพื่อตรวจจับและป้องกันกิจกรรมที่น่าสงสัย
- ทำการตรวจสอบความปลอดภัยของเครื่องมือและแพลตฟอร์มของบุคคลที่สาม รวมถึงการตั้งค่าของ Moltbot (หากใช้งาน) อย่างสม่ำเสมอ
- พิจารณาการใช้ Sandboxing สำหรับสภาพแวดล้อมการพัฒนาเพื่อจำกัดผลกระทบจากการติดมัลแวร์
Source: https://thehackernews.com/2026/01/fake-moltbot-ai-coding-assistant-on-vs.html
Share this content: