Nowości

Fałszywe wtyczki AI w JetBrains Marketplace wykradały klucze API przez osiem miesięcy

ProgramowaniePatryk Raba
Fot. Tima Miroshnichenko, Pexels (Pexels License)

Piętnaście wtyczek podszywających się pod asystentów kodowania AI zebrało w JetBrains Marketplace około 70 tysięcy instalacji, zanim badacze namierzyli proceder wykradania kluczy API OpenAI, DeepSeek i SiliconFlow. Równolegle dwa rozszerzenia do Chrome podsłuchiwały rozmowy użytkowników z chatbotami.

Spis treści
  1. Jak działał atak
  2. Skala kampanii
  3. Podwójny mechanizm zarobku
  4. Podsłuch w przeglądarce
  5. Co dalej

Piętnaście wtyczek podszywających się pod asystentów kodowania AI działało w oficjalnym JetBrains Marketplace przez osiem miesięcy, zanim badacze bezpieczeństwa namierzyli proceder wykradania kluczy API. Równolegle dwa pozornie niewinne rozszerzenia do przeglądarki Chrome podsłuchiwały rozmowy użytkowników z chatbotami takimi jak ChatGPT czy Claude.

Jak działał atak

Wtyczki reklamowały się jako asystenci kodowania oparte na DeepSeek i innych dużych modelach językowych, oferując czat, generowanie opisów commitów, przegląd kodu, wyszukiwanie błędów i pisanie testów jednostkowych. Działały dokładnie tak, jak obiecywały, co uśpiło czujność deweloperów instalujących je z oficjalnego sklepu.

Problem pojawiał się w momencie, gdy użytkownik wklejał własny klucz API do konfiguracji wtyczki. Zamiast zostać wyłącznie lokalnie, klucz był wysyłany nieszyfrowanym połączeniem HTTP na sztywno zakodowany adres serwera kontrolowanego przez atakujących.

Klucz był po cichu wykradany nieszyfrowanym połączeniem HTTP na zakodowany na stałe serwer command-and-control pod adresem 39.107.60.51 - Ilyas Makari, badacz Aikido Security

Skala kampanii

Według analizy StepSecurity kampania ruszyła 31 października 2025 roku i przyspieszyła gwałtownie w czerwcu 2026, tuż przed wykryciem. W sumie piętnaście wtyczek rozłożonych na siedem kont wydawców zebrało około 70 tysięcy instalacji w ciągu ośmiu miesięcy, a same dwie najpopularniejsze pozycje, CodeGPT AI Assistant i DeepSeek AI Assist, odpowiadały za ponad 53 tysiące pobrań.

Serwer command-and-control, wskazany jako 39.107.60.51, działał na infrastrukturze Alibaba Cloud w Pekinie i miał panel administracyjny opisany po chińsku jako platforma zarządzania informacją. Złośliwy kod celował konkretnie w klucze API pasujące do formatów OpenAI, DeepSeek i SiliconFlow, rozpoznając ciągi zaczynające się od sk- o długości 51 znaków.

Podwójny mechanizm zarobku

Część wtyczek dodatkowo wykorzystywała system dotacji wewnątrz aplikacji. Użytkownicy płacili za rzekomo płatny dostęp do funkcji premium, a w zamian serwer atakujących odsyłał im działający klucz API, najprawdopodobniej skradziony wcześniej innej ofierze. Operator zarabiał więc podwójnie, pobierając opłaty od jednych użytkowników i przechwytując darmowe poświadczenia od innych.

Podsłuch w przeglądarce

Niezależnie od kampanii w JetBrains Marketplace badacze opisali operację PromptSnatcher, w której dwa rozszerzenia do Chrome udające blokery reklam, Smart Adblocker i Adblock for Browser, przechwytywały pełne historie rozmów z ośmioma platformami AI. Rozszerzenia rejestrowały nie tylko treść czatów z ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok i Meta AI, ale też metadane o używanym modelu i poziomie subskrypcji, wysyłając wszystko na serwery kontrolowane przez operatora bez wyraźnego powiadomienia użytkownika poza ogólnikową zgodą na rozszerzoną ochronę.

Rozszerzenia zawierają własnoręcznie zbudowany silnik przechwytywania, który rejestruje niepubliczne rozmowy - z ustaleń badacza Jean-Marie R.

Co dalej

Po zgłoszeniu przez Aikido Security firma JetBrains usunęła wszystkie piętnaście wtyczek, zablokowała siedem kont wydawców i zdalnie wyłączyła je w już zainstalowanych środowiskach programistycznych. Spółka przyznała też, że jej dotychczasowe narzędzie Plugin Verifier było zaprojektowane głównie jako sprawdzian zgodności i sposobu użycia API, a nie mechanizm wykrywania złośliwego kodu wykradającego dane, i zapowiedziała zaostrzenie procesu weryfikacji publikowanych wtyczek.

Każdy deweloper, który wprowadził klucz API OpenAI, DeepSeek lub SiliconFlow do jednej z wymienionych wtyczek, powinien traktować to poświadczenie jako skompromitowane i natychmiast je unieważnić oraz wygenerować nowe. To samo dotyczy użytkowników wspomnianych rozszerzeń Chrome, którzy powinni je odinstalować i sprawdzić historię swoich rozmów pod kątem ujawnionych danych.

Sprawa dotyczy też polskich zespołów programistycznych, dla których IntelliJ IDEA, PyCharm czy WebStorm od JetBrains należą do najczęściej używanych środowisk pracy. Wraz z boomem na integrację narzędzi AI bezpośrednio w edytorach kodu rośnie też pole do nadużyć, a oficjalny status sklepu z wtyczkami nie gwarantuje automatycznej ochrony przed złośliwym oprogramowaniem podszywającym się pod popularne funkcje asystentów kodujących.

Źródła: Malicious JetBrains Plugins Steal AI API Keys as Chrome Extensions Capture Chatbot Chats (thehackernews.com), 15 Malicious JetBrains Plugins Stole AI API Keys from 70,000 Developers (stepsecurity.io)

Udostępnij: