Wie 15 gefälschte KI-Plugins den JetBrains Marketplace in ein Buffet für Zugangsdaten verwandelten

Ich habe gestern Morgen eine Stunde damit verbracht, die Liste der Erweiterungen in meiner lokalen IDE zu überprüfen. Es ist eine mühsame Aufgabe, die die meisten Entwickler überspringen, weil wir unsere Entwicklungsumgebungen wie ein privates Heiligtum behandeln. Wir gehen davon aus, dass ein Tool, wenn es auf einem offiziellen Marktplatz wie JetBrains existiert, eine Prüfung bestanden hat, die es sicher macht. Diese Annahme ist eine gefährliche Fehlkonfiguration in unserem mentalen Sicherheitsmodell. Wir geben Millionen von Dollar für Enterprise-Firewalls und Endpoint-Detection-Systeme aus, doch ein einzelner Entwickler, der einen Unit-Test automatisieren möchte, kann jede Verteidigungsebene mit einem Klick umgehen.

Sicherheitsforscher von Aikido Security haben kürzlich eine koordinierte Malware-Kampagne identifiziert, die genau diesen blinden Fleck ausnutzt. Die Kampagne umfasst 15 bösartige Plugins, die auf dem JetBrains Marketplace gehostet werden. Diese Tools tarnen sich als KI-gestützte Codierungsassistenten und versprechen, Commit-Nachrichten zu generieren, Code-Reviews durchzuführen und Fehler zu finden. Während sie diese Aufgaben wie beworben ausführen, fungieren sie gleichzeitig als stille Pipeline für den Diebstahl von Zugangsdaten. Aus der Sicht des Endbenutzers sieht das Plugin wie ein Produktivitätsbooster aus. Hinter den Kulissen ist es eine Exfiltrations-Engine für Ihre sensibelsten Schlüssel von KI-Anbietern.

Die Anatomie der JetBrains-Marketplace-Kampagne

Die Kampagne ist seit Ende 2025 aktiv und schleuste bis Mitte 2026 weiterhin neue bösartige Updates ein. Die Angreifer nutzten den massiven Nachfrageschub nach Integrationen für DeepSeek und andere große Sprachmodelle aus. Indem sie ihre Plugins nach beliebten KI-Tools benannten, gelang es ihnen, Tausende von Benutzern zu täuschen. Zwei spezifische Plugins, CodeGPT AI Assistant und DeepSeek AI Assist, konnten jeweils über 25.000 Downloads verzeichnen. Ob diese Zahlen organisch sind oder durch Bot-Aktivitäten aufgebläht wurden, ist zweitrangig gegenüber der Tatsache, dass sie monatelang verfügbar blieben.

Die Liste der identifizierten bösartigen Plugins umfasst:

• DeepSeek Junit Test (org.sm.yms.toolkit)
• DeepSeek Git Commit (com.json.simple.kit)
• DeepSeek FindBugs (org.bug.find.tools)
• DeepSeek AI Chat (org.translate.ai.simple)
• DeepSeek Dev AI (com.yy.test.ai.simple)
• DeepSeek AI Coding (com.dev.ai.toolkit)
• AI FindBugs (com.json.view.simple)
• AI Git Commitor (com.my.git.ai.kit)
• AI Coder Review (org.check.ai.ds)
• DeepSeek Coder AI (com.review.tool.code)
• AI Coder Assistant (org.code.assist.dev.tool)
• DeepSeek Code Review (com.coder.ai.dpt)
• CodeGPT AI Assistant (com.my.code.tools)
• DeepSeek AI Assist (ord.cp.code.ai.kit)
• Coding Simple Tool (com.dp.git.ai.tool)

Diese Plugins teilen eine nahezu identische Codebasis. Um sie zu nutzen, müssen Sie einen API-Schlüssel für Dienste wie OpenAI, SiliconFlow oder DeepSeek angeben. Sobald Sie Ihren Schlüssel in das Einstellungsmenü eingeben, überträgt das Plugin diesen an einen Remote-Server unter der Adresse 39.107.60[.]51. Die Exfiltration erfolgt über eine Standard-HTTP-Anfrage im Klartext. Diese Wahl des Protokolls ist besonders dreist, da es selbst an einer einfachen Verschlüsselung mangelt, was den Diebstahl für jeden sichtbar macht, der den Netzwerkverkehr überwacht.

Die bizarre Ökonomie gestohlener API-Schlüssel

In diesen Plugins ist eine eigenartige Monetarisierungsstrategie eingebettet. Die Angreifer integrierten eine Spendenaufforderung oder eine kostenpflichtige Stufe innerhalb der Software. Wenn ein Benutzer eine kleine Gebühr zahlt, sendet der Server einen anderen, funktionierenden API-Schlüssel an den Client zurück. Das Plugin verwendet dann diesen neuen Schlüssel für seine Modellaufrufe. Dieses Verhalten ist ein Warnsignal für jeden Forensik-Analysten. Ein legitimer Softwareanbieter gibt keine uneingeschränkten, bezahlten API-Schlüssel für einen Drittanbieterdienst im Austausch für eine kleine Spende heraus.

Dieser Kreislauf deutet darauf hin, dass die Betreiber einen Ring zum Teilen von Zugangsdaten betreiben. Sie stehlen Schlüssel von einer Gruppe von Opfern und verkaufen den Zugang zu genau diesen Schlüsseln an eine andere Gruppe. Dies macht die Opfer zu unfreiwilligen Finanziers des Geschäftsmodells der Angreifer. Proaktiv gesprochen handelt es sich hierbei um eine Form von LLMjacking. Die eigentlichen Schlüsselinhaber zahlen die monatlichen Nutzungsrechnungen, während die Angreifer reinen Gewinn aus den Spendengebühren einstreichen. Dieses Schema verdeutlicht, warum Entwickler so wertvolle Ziele sind. Eine kompromittierte IDE enthält mehr als nur Quellcode. Sie enthält die Schlüssel zur Cloud-Infrastruktur und zu den Finanz-Pipelines des gesamten Unternehmens.

PromptSnatcher und die Ausnutzung von Browser-Vertrauen

Während der JetBrains-Vorfall auf das Backend des Entwicklungsprozesses abzielt, nimmt eine zweite Kampagne namens PromptSnatcher die Benutzeroberfläche ins Visier. Der Sicherheitsforscher Jean-Marie R. entdeckte zwei Google Chrome-Erweiterungen, die private Gespräche mit KI-Chatbots erfassen. Diese Erweiterungen, Smart Adblocker und Adblock for Browser, haben eine kombinierte Nutzerbasis von über 100.000 Personen. Sie fungierten jahrelang als legitime Werbeblocker, bevor die Entwickler über Software-Updates Funktionen zum Datendiebstahl einführten.

Die Erweiterungen verwenden eine Interzeptions-Engine, um jede Interaktion aufzuzeichnen, die Sie mit ChatGPT, Claude, Gemini, Copilot und Meta AI haben. Sie sammeln den vollständigen Gesprächsverlauf, das spezifisch verwendete Modell und Ihre Abonnementstufe. Diese Daten gehen ohne Ihr Wissen an einen von Angreifern kontrollierten Server. Die Betreiber verbergen diese Aktivität unter dem Deckmantel einer Zustimmungserklärung für "Erweiterten Schutz". Auf architektonischer Ebene sind diese Erweiterungen ein klassisches digitales Trojanisches Pferd. Sie bieten einen nützlichen Dienst – das Blockieren von Werbung –, um ihre Präsenz in Ihrem Browser zu rechtfertigen, während sie Ihr geistiges Eigentum ernten.

Die Risiken von Prompt-Poaching im Unternehmen

Dieser Trend des Diebstahls von KI-Interaktionen ist als Prompt-Poaching bekannt. Es stellt eine systemische Bedrohung für die Vertraulichkeit von Unternehmen dar. Wenn ein Entwickler eine KI bittet, einen proprietären Algorithmus zu debuggen, oder ein Rechtsteam um eine Zusammenfassung einer Geheimhaltungsvereinbarung bittet, sind diese Daten hochsensibel. Wenn eine bösartige Erweiterung diesen Prompt erfasst, verliert das Unternehmen die Kontrolle über sein geistiges Eigentum.

Im Gegensatz zu herkömmlicher Malware, die Dateien verschlüsseln oder Bank-Logins stehlen will, ist Prompt-Poaching eine granularere Form der Wirtschaftsspionage. Die gestohlenen Daten sind oft unstrukturiert, aber extrem wertvoll. Sie bieten Einblicke in die internen Projekte eines Unternehmens, seine technischen Schwachstellen und seine strategische Ausrichtung. Diese Erweiterungen sind weit verbreitet, da sie auf dem Wunsch des Benutzers nach einem saubereren Surferlebnis basieren. Viele Benutzer gewähren diesen Tools umfassende Berechtigungen zum Lesen und Ändern von Daten auf allen Websites, was genau das ist, was die Interzeptions-Engine zum Funktionieren benötigt.

Praktische Schritte zur Bereinigung Ihres Entwicklungs-Workflows

Wenn Ihre IDE oder Ihr Browser ein VIP-Club ist, dann sind Ihre Plugins die Türsteher. Sie sollten niemals einen Türsteher ohne gründliche Hintergrundprüfung hereinlassen. Um sich gegen diese Arten von Supply-Chain-Angriffen zu verteidigen, müssen Sie zu einem Zero-Trust-Modell für Ihre Entwicklungsumgebung übergehen. Das Patchen Ihres Betriebssystems ist eine Grundvoraussetzung, schützt Sie jedoch nicht vor einem bösartigen Plugin, das Sie freiwillig installiert haben.

Beginnen Sie mit der Überprüfung jedes Plugins in Ihrer IDE. Wenn Sie eines der oben aufgeführten 15 DeepSeek-bezogenen Plugins installiert haben, entfernen Sie es sofort. Nach der Entfernung müssen Sie davon ausgehen, dass Ihre API-Schlüssel kompromittiert sind. Rotieren Sie jeden Schlüssel, den Sie jemals in diese Tools eingegeben haben. Die Überwachung Ihrer Abrechnungen auf ungewöhnliche Spitzen bei der KI-Nutzung ist eine weitere reaktive Maßnahme, aber es ist besser, das Leck an der Quelle zu verhindern.

Befolgen Sie für die Browsersicherheit das Prinzip der geringsten Privilegien. Verwenden Sie keine Werbeblocker, die Zugriff auf "alle Websites" benötigen, wenn Sie diesen Browser auch für sensible Arbeiten nutzen. Verwenden Sie einen dedizierten, gehärteten Browser für die Interaktion mit KI-Chatbots und Cloud-Konsolen. Diese Aufgabentrennung verhindert, dass eine bösartige Erweiterung in Ihrem primären Browser sieht, was Sie in Ihren sicheren Sitzungen tun. Verwenden Sie schließlich nach Möglichkeit ein Secret-Management-Tool zur Verwaltung von API-Schlüsseln, anstatt sie in die Einstellungsfenster von Plugins zu kopieren. Behandeln Sie jedes Drittanbieter-Tool als potenzielle Schwachstelle, bis Sie sein Verhalten durch Netzwerküberwachung oder Code-Review verifiziert haben.

Wichtige Erkenntnisse für Sicherheitsverantwortliche

• IDE-Marktplätze prüfen: Gehen Sie nicht davon aus, dass die Verfügbarkeit auf JetBrains oder im Chrome Web Store Sicherheit bedeutet.
• Schlüssel nach Plugin-Entfernung rotieren: Das Löschen der Malware macht die gestohlenen Zugangsdaten nicht ungültig.
• Netzwerk-Egress-Filterung implementieren: Das Blockieren von Klartext-HTTP-Anfragen an unbekannte IP-Adressen kann viele einfache Exfiltrationsversuche stoppen.
• Browser-Isolierung durchsetzen: Verwenden Sie separate Profile oder Browser für sensible KI-Interaktionen, um die Reichweite bösartiger Erweiterungen zu begrenzen.
• API-Nutzung überwachen: Legen Sie strikte Ausgabengrenzen für Konten bei KI-Anbietern fest, um die finanziellen Auswirkungen von LLMjacking zu mildern.

Quellen: Aikido Security Research, Chrome Web Store Metadata, NIST Cybersecurity Framework (Supply Chain Risk Management), MITRE ATT&CK (T1553.004: Install Root Certificate/Subvert Trust Policy).

Haftungsausschluss: Dieser Artikel dient nur zu Informations- und Bildungszwecken und ersetzt keine professionelle Cybersicherheitsprüfung oder einen Incident-Response-Service.