Malware

MoltBot falsa su Visual Studio Code: malware, AI locale e rischio dati nel 2026

di Redazione
scritto da Redazione 0 commenti
moltbot falsa vs code malware

MoltBot è finito al centro di un caso emblematico di supply chain attack che combina estensioni malevole su Visual Studio Code, malware di accesso remoto e configurazioni insicure di AI open-source. A fine gennaio 2026 una falsa estensione MoltBot pubblicata sul Marketplace di VS Code ha installato malware persistente sugli endpoint degli sviluppatori, mentre analisi parallele hanno mostrato come istanze MoltBot mal configurate espongano API key, conversazioni e accessi privilegiati. In questo articolo trovi come funziona l’attacco, quali dati sono a rischio e cosa verificare subito in ambienti personali ed enterprise.

MoltBot: sviluppo, architettura e perché è diventato un bersaglio

MoltBot, sviluppato da Peter Steinberger, nasce come assistente AI locale pensato per funzionare senza dipendenze cloud, integrandosi con piattaforme di messaggistica come WhatsApp, Telegram, Slack, Discord e Signal. L’idea è semplice e potente: un LLM personale sempre attivo, con memoria persistente, capacità di eseguire task schedulati, inviare alert proattivi e interagire con filesystem, email e servizi esterni. Questa filosofia “local-first” ha spinto un’adozione virale, superando 85.000 stelle su GitHub a fine gennaio 2026 e favorendo persino l’uso di host dedicati per esecuzione 24/7.

Il rovescio della medaglia è architetturale. MoltBot privilegia la facilità di setup rispetto alla sicurezza by default: assenza di sandboxing, credenziali memorizzate in chiaro, fiducia implicita nel traffico locale e integrazioni OAuth estese ampliano la superficie d’attacco. La directory ~/.moltbot/ diventa un punto di concentrazione di token, webhook e conversazioni, appetibile per infostealer. Non esiste un’estensione VS Code ufficiale di MoltBot: questa lacuna ha reso credibile l’imitazione malevola.

Estensione falsa su Visual Studio Code: meccanismi tecnici del malware

Il 27 gennaio 2026 compare sul Marketplace una falsa estensione chiamata ClawdBot Agent (ID clawdbot.clawdbot-agent), presentata come assistente AI gratuito per sviluppatori. L’estensione viene rimossa da Microsoft dopo le segnalazioni, ma non prima di aver compromesso sistemi.

All’avvio dell’IDE, l’estensione scarica configurazioni da domini sospetti e deploia un accesso remoto persistente basato su ScreenConnect. Il flusso osservato include config.json recuperati da domini ad hoc, connessioni a relay server su porte non standard e fallback multipli per garantire l’esecuzione. Un elemento chiave è una DLL scritta in Rust (DWrite.dll) utilizzata per DLL sideloading, con URL hard-coded nel codice e ulteriori script batch come canale alternativo di delivery. La scelta di strumenti legittimi e tecniche di living-off-the-land riduce la rilevabilità iniziale e garantisce persistenza.

Il target è chiaro: sviluppatori che lavorano su codice sensibile. Una volta attivo, il RAT consente controllo remoto, esfiltrazione di progetti, chiavi e segreti, trasformando un singolo click in un incidente di sicurezza enterprise.

AI locale e dati esposti: le misconfigurazioni più pericolose in MoltBot

Parallelamente all’estensione malevola, ricercatori hanno identificato centinaia di istanze MoltBot esposte online per reverse proxy configurati male. In questi casi MoltBot tratta traffico Internet come locale, consentendo accessi non autenticati a interfacce admin, command execution e lettura della memoria. API key, OAuth token, trascrizioni e storico conversazioni risultano accessibili; in alcuni scenari è possibile ottenere privilegi elevati.

Il rischio non è solo tecnico ma cognitivo. Prompt injection e memory poisoning permettono a un attaccante di iniettare istruzioni persistenti, alterare risposte, dirottare agent e condizionare decisioni. L’accesso a messaggeria cifrata amplifica l’impatto: l’esposizione di QR di pairing o token di sessione abilita impersonation. Senza sandboxing, l’AI opera con privilegi utente, estendendo la compromissione a sistemi e servizi collegati.

Infostealer e targeting MoltBot: RedLine e furto contestuale

La popolarità di MoltBot ha attirato infostealer che cercano attivamente le sue directory. Campioni di RedLine (e varianti affini) includono regole di ricerca per ~/.moltbot/, puntando a token webhook, API key e memorie in chiaro. Il risultato è furto contestuale: l’attaccante non ruba solo credenziali generiche, ma contesto operativo, stato dell’agente e storico decisionale, accelerando movimenti laterali e abusi mirati.

Supply chain e skill: il problema MoltHub

Il rischio si estende alla supply chain delle skill. Repository pubblici come MoltHub hanno mostrato verifiche insufficienti, consentendo la pubblicazione di skill backdoored con payload malevoli. La facilità di installazione e la popolarità delle integrazioni amplificano la diffusione. In un ecosistema AI locale, una skill compromessa equivale a command execution con contesto privilegiato.

Impatto enterprise: shadow IT e numeri chiave

Il caso ha un impatto diretto sulle aziende. Token Security rileva che il 22% dei clienti utilizza MoltBot senza approvazione IT. In presenza di credenziali in chiaro, reverse proxy esposti e estensioni IDE malevole, lo scenario diventa rischio sistemico: leak di IP, compromissioni account, movimento laterale e impersonation.

Cosa fare ora: controlli immediati e mitigazioni operative

La risposta efficace parte da verifiche puntuali. Rimuovere estensioni VS Code non ufficiali, verificando publisher e ID; ruotare tutte le credenziali se MoltBot è stato esposto; revocare OAuth token e webhook; chiudere reverse proxy o imporre autenticazione forte; isolare MoltBot in VM con firewall restrittivo; monitorare endpoint per connessioni anomale e processi RAT. Sul medio periodo servono policy di approvazione per tool AI, audit periodici delle skill e sandboxing obbligatorio per agent locali.

Domande frequenti su MoltBot falsa su Visual Studio Code

L’estensione MoltBot su VS Code è ufficiale?

No. MoltBot non ha un’estensione ufficiale per Visual Studio Code. Le estensioni che dichiarano di esserlo vanno considerate sospette e rimosse.

Quali dati rischiano le istanze MoltBot mal configurate?

API key, OAuth token, conversazioni, storico decisionale, accessi a servizi integrati e, in alcuni casi, command execution con privilegi utente.

Perché gli infostealer prendono di mira MoltBot?

Perché centralizza contesto e segreti in directory note. Rubare questi dati consente abusi mirati e movimento laterale più rapido rispetto al furto generico di password.

Come ridurre il rischio in azienda?

Bloccare tool non approvati, isolare MoltBot in VM, abilitare firewall, ruotare credenziali, auditare skill, monitorare endpoint e imporre sandboxing per agent AI locali.

Iscriviti a Matrice Digitale

Ricevi le notizie principali direttamente nella tua casella di posta.

Niente spam, disiscriviti quando vuoi.

Potrebbe interessarti anche

Matrice Digitale partecipa al Programma Affiliazione Amazon EU, un programma di affiliazione che consente ai siti di percepire una commissione pubblicitaria pubblicizzando e fornendo link al sito Amazon.it.

La redazione di Matrice Digitale è specializzata in cybersecurity, OSINT, intelligenza artificiale e geopolitica tecnologica. Con inchieste indipendenti e analisi approfondite, raccontiamo come privacy, sorveglianza e innovazione digitale plasmano la società, anticipando i rischi e le sfide ignorate dai media tradizionali.