Die VS Code Extension Malware „ClawdBot Agent“ tarnte sich als KI-Coding-Assistent, lud beim Start von VS Code eine Konfiguration nach und installierte einen vorkonfigurierten ConnectWise ScreenConnect-Client. Dadurch konnten Angreifer persistenten Fernzugriff auf Windows-Systeme aufbauen.
VS Code Extension Malware im Marketplace: Fake „ClawdBot Agent“ installiert ScreenConnect
Forscher von Aikido Security haben eine VS Code Extension Malware analysiert, die im offiziellen Visual-Studio-Code-Marketplace als „ClawdBot Agent – AI Coding Assistant“ auftauchte. Die Erweiterung war laut Analyse äußerlich funktionsfähig, führte im Hintergrund jedoch dazu, dass auf Windows-Systemen eine für Angreifer vorkonfigurierte Instanz von ConnectWise ScreenConnect installiert und automatisch mit der Angreifer-Infrastruktur verbunden wurde.
Der Eintrag war unter der Extension-ID clawdbot.clawdbot-agent auffindbar und wies zum Zeitpunkt der Recherche 77 Installationen aus. Aikido berichtet, die Extension nach Meldung an Microsoft sei schnell entfernt worden; ein öffentliches Microsoft-Statement zu genau diesem Vorfall liegt bislang nicht vor.
Timeline der VS Code Extension Malware: Entdeckung, Meldung, Entfernung
Laut Aikido wurde die Extension am 27. Januar 2026 durch deren Malware-Detektion auffällig, anschließend verifiziert und an Microsoft gemeldet (siehe Aikido-Analyse). Die Einordnung und zusätzliche Details (u. a. zum Kontext rund um Moltbot/Clawdbot) wurden kurz darauf auch von The Hacker News aufgegriffen.
Technik der VS Code Extension Malware: So läuft die Infektionskette
Die VS Code Extension Malware war so konfiguriert, dass sie automatisch beim Start der IDE aktiv wird (onStartupFinished). Im ersten Schritt wird eine Datei config.json von einer externen Domain nachgeladen; in der Aikido-Analyse wird dafür clawdbot.getintwopc[.]site genannt. Anschließend wird eine Binärdatei mit dem Namen Code.exe ausgeführt.
„Code.exe“ ist dabei nicht zwingend „klassische“ Custom-Malware, sondern ein legitimer ScreenConnect-Client, der jedoch so vorkonfiguriert wurde, dass er sich mit der Infrastruktur der Angreifer verbindet (Aikido nennt u. a. meeting.bulletmailer[.]net:8041 als Relay/C2-Indikator). Genau das macht die Erkennung schwierig: Die Software ist grundsätzlich legitim – die Zielkonfiguration ist bösartig.
Aikido beschreibt außerdem Fallback-Mechanismen: Unter anderem wird eine manipulierte DLL (DWrite.dll) genutzt, um über Sideloading bei Ausfall der Primärinfrastruktur weiterhin Payloads nachzuladen – inklusive Bezug über einen Dropbox-Link. Damit erhöht sich die Robustheit des Angriffs deutlich.
Warum VS Code Extension Malware mit „legitimen Tools“ besonders tückisch ist
Der Fall zeigt ein Muster, das in Incident-Response-Teams regelmäßig Probleme macht: Remote-Admin- und RMM-Tools (wie ScreenConnect) können in Unternehmensumgebungen „normal“ wirken, werden aber von Angreifern gezielt missbraucht, um unauffälligen Fernzugriff zu etablieren. In der Aikido-Analyse wird dieser Ansatz explizit als „legitime Remote-Software, weaponisierte Konfiguration“ beschrieben.
Checks & Sofortmaßnahmen bei VS Code Extension Malware
- Extension entfernen! In VS Code nach „ClawdBot Agent“/„clawdbot“ suchen und deinstallieren (Details bei Aikido).
- ScreenConnect-Artefakte prüfen! Aikido nennt als Beispielpfad
C:\Program Files (x86)\ScreenConnect Client (083e4d30c7ea44f7)\sowie einen korrespondierenden Windows-Service. - Temp-Staging prüfen! Aikido erwähnt
%TEMP%\Lightshotals Ablageort – Ordner und Inhalte überprüfen und entfernen. - Netzwerk-Indikatoren blocken/monitoren! U. a.
meeting.bulletmailer[.]net(Port 8041) sowie weitere in der Analyse gelistete IOCs. - API-Keys rotieren! Wenn in der Extension Konfigurationen/Keys hinterlegt wurden (z. B. LLM-Provider), sollten diese als kompromittiert gelten und erneuert werden.
- Als Incident behandeln! Bei bestätigtem ScreenConnect-Inbound/Outbound nicht „nur reinigen“, sondern forensisch sichern, Persistenz prüfen und Seitwärtsbewegung ausschließen.
Prävention gegen VS Code Extension Malware ist die grundlegende Hygiene im Developer-Stack
- Publisher und Herkunft verifizieren – Bei populären Tools zuerst auf offiziellen Projektseiten/GitHub prüfen, ob es eine echte Marketplace-Extension gibt.
- Minimalprinzip – Extensions nur installieren, wenn sie wirklich benötigt werden; Rechte/Settings regelmäßig reviewen.
- Monitoring & Allowlisting – IDE-Extensions als Supply-Chain-Risiko behandeln: EDR-Policies, Netzwerk-Egress-Kontrollen, Hash-/Publisher-Allowlisting (wo möglich).
- Secrets-Handling – API-Keys nicht in Editor-Settings „liegen lassen“; Secret-Manager nutzen und Schlüssel rotieren können.
FAQ zur VS Code Extension Malware
Im Ergebnis ja (Fernzugriff), technisch aber häufig als Missbrauch eines legitimen Remote-Admin/RMM-Tools einzuordnen. Im „ClawdBot Agent“-Fall steht ScreenConnect im Mittelpunkt (siehe Aikido).
Der Marketplace-Eintrag wies zum Recherchezeitpunkt 77 Installationen aus (Marketplace-Seite). Das ist nicht zu verwechseln mit separaten Kampagnen, bei denen Medien über deutlich höhere Installationszahlen anderer AI-Extensions berichteten.
AI-Extensions treffen aktuell auf hohe Nachfrage und geringe Hürden bei der Installation. Das World Economic Forum beschreibt AI zudem als dominierenden Veränderungstreiber und nennt AI-Vulnerabilities als stark wachsendes Risiko (siehe WEF Global Cybersecurity Outlook 2026).
