Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Non tutte le estensioni per VS Code sono ciò che sembrano.
Un caso recente ha mostrato quanto possa essere insidiosa una minaccia ben mascherata: la falsa estensione “ClawdBot Agent”, presentata come un assistente AI, in realtà distribuiva un software di accesso remoto senza che l’utente se ne accorgesse.
La ricerca di Aikido ha documentato nei dettagli il funzionamento di questo attacco sofisticato e le sue tecniche di persistenza.
L’estensione si mostrava completa e convincente: icone curate, interfaccia chiara e integrazione con provider AI come OpenAI, Google e Anthropic. Nessun segnale evidente faceva sospettare pericoli. In realtà, il team originale di Clawdbot non aveva mai rilasciato alcun plugin per VS Code. Bastava installarla e aprire l’editor per attivare il malware, senza ulteriori interazioni.
Il cuore dell’attacco è il file Code.exe, che non è un componente di VS Code ma l’eseguibile di ScreenConnect di ConnectWise rinominato. Questo trucco sfrutta la fiducia degli utenti verso il nome del processo, permettendo agli attaccanti di avere accesso remoto persistente senza falsificare la firma Microsoft.
A supporto, il malware utilizza la libreria DWrite.dll, un vero e proprio attacco di DLL Sideloading. Questa DLL scritta in Rust viene caricata automaticamente al lancio di Code.exe, emulando la libreria di sistema DirectWrite, e consente al malware di avviarsi senza intervento dell’utente.
Il malware, da quanto riportano i ricercatori, crea una catena di impersonazioni multiple: dalla falsa estensione Clawdbot, al finto VS Code, fino a componenti come Lightshot e persino riferimenti a Zoom, con cartelle temporanee create in %TEMP%Lightshot. Tutto ciò assicura che il RAT rimanga attivo e resiliente, anche se alcune parti vengono rimosse.
Il comportamento sospetto è stato rapidamente rilevato dai sistemi di sicurezza, e Microsoft ha rimosso l’estensione dal Marketplace. Tuttavia, chi l’aveva già installata potrebbe aver subito compromissioni. È quindi essenziale verificare e pulire eventuali cartelle temporanee create dal malware
