2026年1月27日，微软VS Code官方应用商店曝出ClawdBot Agent恶意扩展攻击事件，该扩展以热门AI编程助手Clawdbot（现名Moltbot）的仿冒身份上线，凭借“真AI功能+暗植木马”的双重伪装，成功诱导开发者安装，成为近期针对开发环境的典型供应链攻击案例。微软虽快速下架该扩展，但此次攻击不仅暴露了VS Code扩展生态的审核漏洞，更折射出当下攻击者将AI工具作为钓鱼载体、把开发IDE变为渗透入口的全新攻击趋势，其背后的技术手段和攻击逻辑，为开发者和企业的开发环境安全敲响了警钟。

一、精准伪装：仿冒AI助手的“钓鱼陷阱”，让开发者难辨真伪

ClawdBot Agent的核心攻击优势，在于其对正版AI编程工具的极致仿冒，利用开发者对AI辅助编程的需求和对官方应用商店的信任，实现无感知植入，其伪装手段覆盖名称、功能、界面全维度，具备极强的迷惑性。

1. 名称与身份抢注，制造官方假象：正版Clawdbot从未发布过VS Code官方扩展，攻击者抢先注册“ClawdBot Agent”名称，直接绑定热门AI工具的品牌认知，让开发者下意识认为其为官方配套插件，降低安装警惕性。
2. 全功能AI服务集成，掩盖恶意本质：该扩展并非单纯的“空壳钓鱼”，而是真正集成了OpenAI、Anthropic、Google等7个主流AI服务，AI代码补全、调试、解释等核心功能均可正常使用，开发者在日常操作中无法发现任何异常，这种“真功能打底”的模式，成为其最隐蔽的伪装外衣。
3. 专业界面与图标包装，贴合官方审美：扩展采用与正版AI工具风格一致的专业图标和UI界面，无任何粗糙设计痕迹，完全符合VS Code应用商店的上架标准，从视觉层面进一步强化“官方插件”的认知，让开发者放松审核。
4. 借力AI工具流行趋势，精准定位目标：当下AI编程助手已成为开发者的必备工具，Clawdbot作为其中的热门产品，拥有大量用户基础，攻击者精准瞄准这一趋势，将仿冒扩展与热门AI工具绑定，实现对开发者群体的精准收割，攻击目标的针对性极强。

二、技术拆解：多阶段攻击链，从自动激活到持久化控制的全流程渗透

ClawdBot Agent的恶意逻辑并非简单的单一代码执行，而是设计了一套完整的自动激活-远程拉取-木马植入-持久化控制多阶段攻击链，每一步均经过精心设计，兼具隐蔽性和杀伤力，且全程无需用户交互，实现“安装即沦陷”的攻击效果，其技术细节充分体现了攻击者对VS Code运行机制和Windows系统防护的深度掌握。

（一）触发机制：启动即执行，无交互实现恶意代码加载

攻击者在扩展的package.json配置文件中，将激活事件设置为"activationEvents": ["onStartupFinished"]，这意味着扩展安装后，无需用户手动点击启用，只要VS Code启动完成，恶意代码就会自动触发执行，从源头上切断了用户的干预可能，实现“静默启动”。

（二）载荷拉取：多级远程调用，动态获取攻击指令

恶意代码的核心执行逻辑封装在init core()函数中，该函数会在扩展激活时优先执行，绕过正常的AI功能代码，实现载荷的远程拉取，且设计了容错机制，避免拉取失败暴露痕迹：

1. 一级拉取配置文件，获取攻击指令：从攻击者控制的远程服务器clawdbot.getintwopc[.]site下载config.json配置文件，该文件为攻击指令的核心载体，包含后续需要下载的木马文件名称、路径等关键信息，且可由攻击者远程修改，实现攻击行为的动态调控。
2. 二级拉取恶意载荷，执行木马安装：根据配置文件中的指令，自动下载Code.exe、DWrite.dll等核心文件，其中Code.exe是被攻击者篡改的ConnectWise ScreenConnect合法远程控制客户端，被恶意用作远程访问木马（RAT），而DWrite.dll则是攻击者专门编写的Rust加载器，为后续木马执行提供支撑。
3. 容错设计规避暴露，提升攻击成功率：代码中设置了空的catch异常处理块，若远程拉取文件失败，不会弹出任何错误提示，而是自动触发备用下载链路，全程无任何异常反馈，让开发者和安全工具难以通过错误信息发现攻击行为。

（三）木马执行：合法工具劫持+DLL侧载，躲避安全检测

攻击者并未开发全新木马，而是选择劫持合法的ScreenConnect远程控制工具，并通过DLL侧载技术实现恶意代码的隐蔽执行，利用合法程序的“白名单属性”，躲避传统杀毒软件和EDR工具的检测。

1. 合法工具劫持，降低检测概率：ScreenConnect是业内常用的远程协助工具，其主程序本身无恶意，攻击者通过篡改其配置，将其变为可远程控制受害者设备的木马，利用安全工具对合法程序的“信任”，实现木马的隐蔽运行。
2. DLL侧载技术，实现恶意代码注入：攻击者编写的DWrite.dll加载器，与Windows系统原生的DirectWrite库导出了相同的DWriteCreateFactory函数，当ScreenConnect主程序运行时，会优先加载该恶意DLL，而非系统原生DLL，从而触发其中的恶意代码执行，实现“借壳运行”。
3. 利用系统原生API，完成载荷操作：恶意DLL通过InternetOpenA等Windows系统原生API，实现载荷的下载、写入和执行，全程不调用可疑第三方函数，进一步降低被安全工具检测的概率。

（四）持久化控制：建立专属远程连接，实现设备永久操控

木马植入后，攻击者会通过一系列操作，实现对受害者设备的持久化控制，即使受害者重启设备、关闭VS Code，也无法切断攻击者的连接，实现“一次感染，永久控制”。

1. 木马文件本地化安装：将篡改后的ScreenConnect客户端安装到Windows系统默认的程序目录C:\Program Files (x86)\ScreenConnect Client (083e4d30c7ea44f7)，让其具备与合法软件相同的系统目录属性，降低被用户手动删除的概率。
2. 注册系统服务，实现开机自启：自动部署ScreenConnect.ClientService.exe等系统服务，将木马添加到Windows开机启动项，实现设备重启后的自动运行，保证攻击链路的持续性。
3. 建立专属远程中继连接：攻击者搭建了独立的ScreenConnect中继服务器，让受害者设备主动连接到其控制的meeting.bulletmailer[.]net:8041地址，通过该中继服务器，攻击者可获取受害者设备的完全控制权，进行文件操作、屏幕监控、键盘记录等任意操作，且远程连接的隐蔽性极强，难以通过网络监控直接发现。

三、危害升级：从个人设备沦陷到企业供应链污染，破坏力呈连锁反应

ClawdBot Agent攻击的危害，并非仅局限于开发者个人设备的信息窃取，其背后折射的是开发环境沦陷→核心资产泄露→企业内网渗透→供应链全面污染的连锁破坏逻辑，相较于普通的终端恶意软件，其对企业的杀伤力呈指数级提升，这也是当下针对开发环境攻击的核心特点。

1. 个人核心开发资产全面泄露：开发者设备中存储着SSH密钥、Git仓库令牌、云服务（AWS/Azure/GCP）访问密钥、数据库连接字符串等敏感凭证，同时包含未上线的核心源代码、商业算法等商业机密，一旦设备被远程控制，这些资产将被攻击者全盘窃取，造成不可挽回的损失。
2. 企业内网横向渗透的“突破口”：开发者设备通常具备企业内网的访问权限，部分核心开发者还拥有CI/CD管道、生产环境服务器的操作权限，攻击者可通过沦陷的开发者设备，作为内网渗透的“跳板”，利用窃取的凭证登录企业内网服务器、共享文件夹，实现从终端到内网的横向移动，进而攻击企业核心业务系统。
3. 软件供应链的源头污染：若攻击者获取了企业代码库的读写权限，可直接篡改源代码，在核心业务模块中植入后门程序，或在CI/CD管道中添加恶意构建步骤，生成带毒的软件安装包，这些被污染的软件会随着企业的产品发布，传播到下游用户手中，实现软件供应链的全链条污染，其影响范围会从企业内部扩散到整个用户生态。
4. 持久化威胁难以彻底清除：该恶意扩展植入的ScreenConnect木马，通过注册系统服务、添加开机启动项、本地化安装等方式实现持久化，即使用户卸载了恶意扩展，若未彻底删除木马文件和相关服务，攻击者仍可继续控制设备，且其利用合法工具和系统API的运行模式，让普通用户难以通过手动操作完成彻底清理，需专业的安全工具进行排查。

四、行业溯源：VS Code扩展生态成攻击重灾区，背后的安全漏洞亟待填补

ClawdBot Agent并非个例，而是近期针对VS Code扩展生态攻击的典型代表。据安全研究机构统计，VS Code官方应用商店目前已有超6万个扩展，累计下载量达数百亿次，而其“轻量审核”的模式，让该生态成为攻击者的重点目标，近期已接连曝出多起恶意扩展攻击事件，暴露了生态背后的多重安全漏洞。

1. 审核机制存在短板，难以实现深度代码审计：VS Code应用商店虽有基础的上架审核，但面对海量的扩展提交，无法实现对每一个扩展的全量、深度代码审计，攻击者只需将恶意代码隐藏在合法功能代码中，或通过远程拉取的方式规避审核时的代码检测，即可轻松通过上架审核，本次ClawdBot Agent正是利用了这一漏洞。
2. 扩展权限管控宽松，过度授权增加攻击风险：VS Code对扩展的权限管控较为宽松，多数扩展可轻松获取设备的文件访问、网络连接、进程执行等核心权限，且用户在安装时往往不会仔细查看权限申请说明，直接点击“同意”，这为恶意扩展的代码执行和木马植入提供了便利。
3. 仿冒扩展识别难度大，缺乏有效溯源机制：攻击者可轻松抢注热门工具的相似名称，或模仿官方扩展的界面和功能，而VS Code应用商店缺乏对扩展发布者身份的严格溯源机制，也未建立官方扩展的专属标识体系，让普通用户难以区分正版与仿冒扩展，为钓鱼攻击提供了可乘之机。
4. 扩展自动更新功能成“二次攻击通道”：部分VS Code扩展支持自动更新，攻击者可先发布良性扩展，待下载量达标后，通过自动更新推送恶意代码，实现“先良性后恶意”的渐进式攻击，这种模式更具隐蔽性，且能实现对已有用户的批量感染。

同时，从行业趋势来看，针对开发环境的攻击正呈现出三大全新特征：一是AI工具成为新型钓鱼载体，攻击者利用开发者对AI工具的依赖，将仿冒AI扩展作为钓鱼入口，精准定位目标群体；二是合法工具被大量劫持，攻击者不再开发全新恶意软件，而是选择劫持业内常用的合法工具（如ScreenConnect、远程协助工具等），利用其“白名单属性”躲避检测；三是开发IDE成为供应链攻击的核心节点，随着DevOps的普及，开发IDE与代码库、CI/CD管道、生产环境的关联性越来越强，攻陷IDE即可实现对整个软件供应链的渗透，攻击的性价比大幅提升。

五、应急处置：已安装仿冒扩展的设备，需按步骤彻底清除威胁

针对已安装ClawdBot Agent恶意扩展的设备，需立即采取应急处置措施，从卸载扩展、删除木马、切断连接到凭证修改，实现全流程的威胁清除，避免攻击者持续控制设备，具体步骤如下：

1. 立即卸载恶意扩展，排查可疑插件：打开VS Code，进入扩展面板，搜索“ClawdBot Agent”并彻底卸载，同时检查已安装的其他扩展，重点排查名称与热门工具相似、发布者信息不明、下载量低且评价少的可疑扩展，一并卸载。
2. 删除木马文件与相关目录，清理本地载荷：手动删除Windows系统中C:\Program Files (x86)\下的ScreenConnect Client相关文件夹，同时打开任务管理器，结束ScreenConnect.ClientService.exe、ScreenConnect.WindowsBackstageShell.exe等相关进程；清理系统临时文件夹，删除DWrite.dll等可疑恶意文件。
3. 切断远程连接，屏蔽恶意服务器：通过Windows防火墙添加规则，禁止设备与clawdbot.getintwopc[.]site、meeting.bulletmailer[.]net:8041等恶意服务器的网络通信，也可通过修改hosts文件，将上述恶意域名解析到本地，实现彻底屏蔽。
4. 全面系统排查，移除持久化项：使用专业的终端安全检测工具进行全盘扫描，重点检查Windows注册表、计划任务、系统服务等，移除攻击者添加的开机启动项、恶意服务等持久化配置，确保无残留威胁。
5. 立即修改所有敏感凭证，防止二次攻击：及时修改Git仓库、云服务、数据库、企业内网等所有平台的账号密码，更换SSH密钥、API访问密钥等敏感凭证，避免攻击者利用已窃取的凭证进行二次渗透和资产窃取。

六、防御体系构建：从个人到企业，全方位筑牢开发环境安全防线

ClawdBot Agent攻击事件表明，在开发环境成为攻击重灾区的当下，单纯的事后应急处置已无法满足安全需求，开发者个人和企业需建立从源头预防、过程监控到事后追溯的全方位防御体系，将开发环境的安全管控融入日常开发流程。

（一）开发者个人：提升安全意识，做好基础防护

1. 谨慎安装扩展，强化源头审核：优先选择VS Code应用商店中官方认证、下载量高、评价良好、发布者信息明确的扩展，对名称与热门工具相似、新上架无评价的扩展保持高度警惕；安装前仔细查看扩展的权限申请说明，拒绝授权不必要的核心权限（如文件全访问、系统进程执行等）。
2. 禁用自动激活与自动更新，掌握控制权：在VS Code设置中，禁用非核心扩展的自动激活功能，设置扩展为“手动启用”；同时关闭扩展的自动更新功能，对更新提示进行人工审核，避免攻击者通过自动更新推送恶意代码。
3. 安装轻量安全工具，实现实时监控：在开发设备上安装终端安全检测工具，开启进程监控、网络连接监控和文件修改监控，及时发现并拦截可疑的远程拉取、进程执行和文件写入行为，实现恶意行为的实时预警。
4. 定期备份核心资产，做好数据防护：对源代码、敏感凭证等核心开发资产进行定期备份，并采用加密方式存储，即使设备沦陷，也能最大限度降低数据泄露和损失的风险。

（二）企业层面：建立标准化管控体系，实现开发环境全生命周期安全

1. 搭建企业专属扩展仓库，实现集中管控：企业应搭建内部专属的VS Code扩展仓库，对开发者可安装的扩展进行统一审核、筛选和部署，禁止开发者从官方应用商店随意安装扩展，从源头上杜绝恶意扩展的植入。
2. 实施权限最小化管控，细化访问权限：基于“最小权限原则”，为开发者分配设备和内网的访问权限，限制开发设备对企业核心代码库、CI/CD管道、生产环境的访问权限；对VS Code扩展进行权限分级，禁止任何扩展获取企业敏感目录和系统核心权限。
3. 部署EDR终端检测工具，实现全流程监控：在所有开发设备上部署终端检测与响应（EDR）工具，实现对进程执行、网络连接、文件操作、注册表修改等行为的全流程监控，建立恶意行为的特征库（如远程拉取可疑文件、劫持合法远程工具等），实现自动检测和拦截；同时搭建网络安全防护体系，屏蔽恶意域名和IP，防止攻击者的远程控制。
4. 融入DevSecOps流程，实现安全左移：将开发环境的安全管控融入DevSecOps流程，在代码开发、构建、部署的各个阶段加入安全检测环节，对扩展代码、项目代码进行实时审计，及时发现并清除恶意代码；同时定期对开发设备和内网进行安全扫描，排查潜在的安全漏洞和威胁。
5. 开展安全培训，提升团队安全素养：定期对开发团队开展开发环境安全培训，讲解近期针对VS Code扩展、AI工具的典型攻击案例，普及恶意扩展的识别方法和应急处置流程，将安全意识融入开发者的日常开发习惯。

（三）平台层面：完善生态审核机制，强化行业责任

1. 升级审核机制，实现深度代码审计：VS Code官方应升级扩展应用商店的审核机制，引入静态代码分析、动态行为检测等技术手段，对扩展进行全量、深度的代码审计，重点检测远程拉取、进程执行、文件全访问等可疑逻辑；对新上架扩展实施“灰度审核”，先小范围发布，监测无异常后再全面开放。
2. 建立官方扩展溯源体系，强化身份认证：为官方扩展和正规第三方扩展添加专属的认证标识，建立发布者身份的严格溯源机制，对发布者的企业信息、个人信息进行实名认证，让用户可快速区分正版与仿冒扩展。
3. 优化扩展权限体系，细化权限分类：重构VS Code的扩展权限体系，将扩展权限细分为文件访问、网络连接、进程执行、注册表修改等多个维度，实现权限的精细化管控；同时为用户提供权限的可视化管理界面，方便用户随时查看和修改扩展的权限配置。
4. 建立恶意扩展快速响应机制，实现联防联控：搭建恶意扩展的举报和检测平台，鼓励用户和安全机构举报可疑扩展；建立恶意扩展的快速下架和溯源机制，一旦发现恶意扩展，立即下架并追溯发布者信息，同时向用户推送预警信息，实现行业的联防联控。

七、未来趋势与警示：AI时代，开发环境安全成为网络安全的核心战场

ClawdBot Agent恶意扩展攻击事件，是AI时代网络安全攻击趋势的一个缩影。随着AI工具在开发领域的全面普及，以及DevOps模式的深入落地，开发环境已成为攻击者突破企业安全防线的核心目标和关键节点，未来针对开发环境的攻击将呈现出更精准、更隐蔽、更具破坏性的特征：攻击者会继续将AI工具、热门开发插件作为钓鱼载体，利用合法工具的“白名单属性”躲避检测，通过供应链攻击实现对企业的深度渗透；同时，随着大模型与开发工具的深度融合，攻击者还可能利用AI工具的漏洞，实现更智能的恶意代码生成和攻击链路设计，让开发环境的安全防护面临更大挑战。

对于开发者和企业而言，此次事件的核心警示在于：开发环境的安全，不再是单纯的技术问题，而是意识问题和体系问题。在AI时代，开发者必须摒弃“开发工具无安全风险”的错误认知，将安全意识融入每一个开发环节；企业必须将开发环境的安全管控提升到战略高度，建立标准化、体系化的安全防护体系，实现从个人到企业、从技术到管理的全方位安全升级。唯有如此，才能在复杂的网络安全环境中，筑牢开发环境的安全防线，守护企业的核心资产和软件供应链的安全。

网络安全的本质，是人与人的对抗。在攻击者的手段不断进化的同时，只有保持警惕、主动防御、持续升级，才能在这场没有硝烟的战争中占据主动，让开发工具真正成为提升效率的利器，而非被攻击者利用的“毒刺”。