إضافة Moltbot مزيفة في VS Code تنشر برمجيات خبيثة

حذر خبراء الأمن السيبراني المطورين من وجود إضافة خبيثة جديدة في متجر مايكروسوفت في إس كود (VS Code) تنتحل صفة مساعد الذكاء الاصطناعي الشهير "Moltbot"، حيث تقوم سراً بتثبيت برمجيات ضارة للتحكم بالأجهزة عن بعد.

وقد سارعت شركة مايكروسوفت إلى إزالة الإضافة التي حملت اسم "ClawdBot Agent - AI Coding Assistant" بعد اكتشاف نشاطها المشبوه، حيث تم نشرها من قبل مستخدم مجهول يدعى "clawdbot" في أواخر شهر يناير 2026.

ما هي حقيقة إضافة Moltbot المزيفة؟

استغل المهاجمون الشعبية الجارفة لمشروع "Moltbot" مفتوح المصدر (المعروف سابقاً باسم Clawdbot)، والذي تجاوز 85,000 نجمة على منصة GitHub. يتيح هذا المشروع للمستخدمين تشغيل مساعد ذكاء اصطناعي محلياً والتفاعل معه عبر تطبيقات المراسلة الشهيرة.

وتكمن الخطورة هنا، كما يوضح فريق تيكبامين، في أن المشروع الأصلي لا يمتلك أي إضافة رسمية لبرنامج VS Code، مما يعني أن المهاجمين استغلوا هذا الفراغ لخداع المطورين الباحثين عن أدوات الذكاء الاصطناعي لتسهيل عملهم.

كيف تخترق هذه الإضافة أجهزة المطورين؟

بمجرد تثبيت الإضافة المزيفة وتشغيل بيئة التطوير، تبدأ البرمجية الخبيثة في العمل في الخلفية دون علم المستخدم. تعتمد الهجمة على آلية معقدة لضمان استمرار الاختراق والتحكم في الجهاز الضحية.

وتشمل خطوات الهجوم التقنية ما يلي:

• استرداد ملف تكوين "config.json" من خادم خارجي مشبوه.
• تنفيذ ملف ثنائي يسمى "Code.exe" لتشغيل برنامج سطح مكتب بعيد شرعي (ScreenConnect).
• الاتصال بخادم المهاجم لمنحه وصولاً دائماً وعن بعد للجهاز المخترق.

ما هي آليات التخفي والنسخ الاحتياطي؟

أظهر التحليل الأمني أن هذه الإضافة الخبيثة متطورة للغاية، حيث تتضمن آليات احتياطية لضمان نجاح الهجوم حتى لو تم حظر الخوادم الرئيسية. يستخدم المهاجمون خوادم خاصة لبرنامج ScreenConnect لتوزيع نسخة معدلة مسبقاً.

وتتضمن طرق النسخ الاحتياطي التي كشف عنها الباحثون:

• تحميل مكتبة برمجية (DLL) مكتوبة بلغة Rust من خدمة Dropbox.
• استخدام عناوين URL مشفرة داخل الإضافة لجلب الملفات الخبيثة.
• تنفيذ سكريبت دفعي (Batch script) كبديل نهائي للحصول على الحمولات الضارة.

ينصح خبراء تيكبامين دائماً بالتحقق من هوية ناشر الإضافة قبل تثبيتها، خاصة في منصات مثل VS Code Marketplace، حيث أصبح استهداف المطورين توجهاً متزايداً لمجرمي الإنترنت لسرقة الأكواد المصدرية والبيانات الحساسة.