Giriş
Siber güvenlik araştırmacıları, resmi Extension Marketplace’te bulunan yeni bir kötü niyetli Microsoft Visual Studio Code (VS Code) uzantısını tespit etti. “ClawdBot Agent – AI Coding Assistant” adıyla tanıtılan bu uzantı, kullanıcıları kötü amaçlı bir yazılım yüklemeye yönlendiriyor ve bu durum, yazılım geliştiricileri için ciddi bir tehdit oluşturuyor.
Saldırı Nasıl Çalışıyor?
Kötü niyetli uzantı, her seferinde entegre geliştirme ortamı (IDE) açıldığında otomatik olarak çalışacak şekilde tasarlanmıştır. Bu uzantı, “clawdbot.getintwopc[.]site” adresinden “config.json” adlı bir dosya alarak “Code.exe” adlı bir ikili dosyayı çalıştırır. Bu ikili, meşru bir uzak masaüstü programı olan ConnectWise ScreenConnect’i yükler ve saldırganın, bir hedef makineye kalıcı uzaktan erişim sağlamasına olanak tanır.
- Uzantı adı: ClawdBot Agent – AI Coding Assistant (“clawdbot.clawdbot-agent”)
- Yayın tarihi: 27 Ocak 2026
- Saldırganın bağlantı noktası: meeting.bulletmailer[.]net:8041
Araştırmacı Charlie Eriksen’in belirttiğine göre, saldırganlar kendi ScreenConnect relay sunucularını oluşturmuş ve bunu VS Code uzantısı aracılığıyla dağıtmıştır. Uzantı, “config.json” içinde listelenen bir DLL dosyasını indirme mekanizmasını da içermekte ve bu sayede eğer komut ve kontrol (C2) altyapısı erişilemez hale gelirse bile kötü amaçlı yükü indirmektedir.
Etkilenen Sistemler
Moltbot, aşırı popüler hale gelerek GitHub’da 85,000 yıldız geçmiştir. Ancak, dikkat edilmesi gereken en önemli nokta, Moltbot’un meşru bir VS Code uzantısına sahip olmamasıdır. Saldırganlar, gelişen popülariteden faydalanarak yazılım geliştiricilerini kandırmayı başarmıştır. Ayrıca, yanlış yapılandırmalar nedeniyle birçok Moltbot örneği çevrimiçi ortamda kimlik doğrulaması olmadan erişime açık hale gelmiştir.
- Durum: Birçok kullanıcı, varsayılan ayarlarla Clawdbot kullanıyor.
- Güvenlik riski: Yanlış yapılandırmalar nedeniyle API anahtarları ve diğer hassas veriler açığa çıkmaktadır.
Çözüm ve Korunma
Kullanıcıların, varsayılan yapılandırmalarını gözden geçirmeleri, tüm bağlantılı hizmet entegrasyonlarını iptal etmeleri, maruz kalan kimlik bilgilerini incelemeleri, ağ kontrolleri uygulamaları ve herhangi bir tehlike belirtisi için sistemlerini izlemeleri önerilmektedir. Bunu gerçekleştirirken aşağıdaki adımları izlemeleri önemlidir:
- Yapılandırmanızı denetleyin.
- Tüm hizmet entegrasyonlarını iptal edin.
- Maruz kalan kimlik bilgilerinizi gözden geçirin.
- Ağ kontrolleri uygulayın.
- Tehdit belirtileri için sistemlerinizi izleyin.
Sonuç
Eğer kullanıcılar Clawdbot’u varsayılan ayarlarla çalıştırıyorsa, bu durum ciddi riskler oluşturuyor. Güncellemeler yapılmalı ve potansiyel hedefleri korumak için ilgili portlar kapatılmalıdır. Ayrıca, sistemlerinizde bu tür uzantılara yer vermemeye özen gösterin ve kaynakları güvenli düşündüğünüz alanlardan yükleyin.
