Falsa estensione ClawdBot per VSCode: il malware ora ti controlla da remoto

Non tutte le estensioni per VS Code sono ciò che sembrano.

Un caso recente ha mostrato quanto possa essere insidiosa una minaccia ben mascherata: la falsa estensione “ClawdBot Agent”, presentata come un assistente AI, in realtà distribuiva un software di accesso remoto senza che l’utente se ne accorgesse.

La ricerca di Aikido ha documentato nei dettagli il funzionamento di questo attacco sofisticato e le sue tecniche di persistenza.

l’inganno iniziale

L’estensione si mostrava completa e convincente: icone curate, interfaccia chiara e integrazione con provider AI come OpenAI, Google e Anthropic. Nessun segnale evidente faceva sospettare pericoli. In realtà, il team originale di Clawdbot non aveva mai rilasciato alcun plugin per VS Code. Bastava installarla e aprire l’editor per attivare il malware, senza ulteriori interazioni.

Come viene distribuito il malware

Il cuore dell’attacco è il file Code.exe, che non è un componente di VS Code ma l’eseguibile di ScreenConnect di ConnectWise rinominato. Questo trucco sfrutta la fiducia degli utenti verso il nome del processo, permettendo agli attaccanti di avere accesso remoto persistente senza falsificare la firma Microsoft.

A supporto, il malware utilizza la libreria DWrite.dll, un vero e proprio attacco di DLL Sideloading. Questa DLL scritta in Rust viene caricata automaticamente al lancio di Code.exe, emulando la libreria di sistema DirectWrite, e consente al malware di avviarsi senza intervento dell’utente.

La catena di persistenza

Il malware, da quanto riportano i ricercatori, crea una catena di impersonazioni multiple: dalla falsa estensione Clawdbot, al finto VS Code, fino a componenti come Lightshot e persino riferimenti a Zoom, con cartelle temporanee create in %TEMP%Lightshot. Tutto ciò assicura che il RAT rimanga attivo e resiliente, anche se alcune parti vengono rimosse.
Il comportamento sospetto è stato rapidamente rilevato dai sistemi di sicurezza, e Microsoft ha rimosso l’estensione dal Marketplace. Tuttavia, chi l’aveva già installata potrebbe aver subito compromissioni. È quindi essenziale verificare e pulire eventuali cartelle temporanee create dal malware

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.