Πώς 15 ψεύτικα πρόσθετα AI μετέτρεψαν το JetBrains Marketplace σε μπουφέ διαπιστευτηρίων

Πέρασα μια ώρα χθες το πρωί ελέγχοντας τη λίστα επεκτάσεων στο τοπικό μου IDE. Είναι μια επίπονη εργασία που οι περισσότεροι προγραμματιστές παραλείπουν επειδή αντιμετωπίζουμε τα περιβάλλοντα ανάπτυξής μας σαν ιδιωτικό καταφύγιο. Υποθέτουμε ότι αν ένα εργαλείο υπάρχει σε ένα επίσημο marketplace όπως το JetBrains, έχει περάσει από ένα επίπεδο ελέγχου που το καθιστά ασφαλές. Αυτή η υπόθεση είναι μια επικίνδυνη εσφαλμένη διαμόρφωση στο νοητικό μας μοντέλο ασφάλειας. Ξοδεύουμε εκατομμύρια δολάρια σε εταιρικά τείχη προστασίας και συστήματα ανίχνευσης τελικών σημείων, ωστόσο ένας μεμονωμένος προγραμματιστής που θέλει να αυτοματοποιήσει μια δοκιμή μονάδας μπορεί να παρακάμψει κάθε επίπεδο άμυνας με ένα κλικ.

Ερευνητές ασφαλείας στην Aikido Security εντόπισαν πρόσφατα μια συντονισμένη εκστρατεία κακόβουλου λογισμικού που εκμεταλλεύεται ακριβώς αυτό το τυφλό σημείο. Η εκστρατεία περιλαμβάνει 15 κακόβουλα πρόσθετα που φιλοξενούνται στο JetBrains Marketplace. Αυτά τα εργαλεία μεταμφιέζονται σε βοηθούς κωδικοποίησης με τεχνητή νοημοσύνη, υποσχόμενα να δημιουργήσουν μηνύματα commit, να διεξάγουν ελέγχους κώδικα και να βρουν σφάλματα. Ενώ εκτελούν αυτές τις εργασίες όπως διαφημίζεται, λειτουργούν επίσης ως ένας αθόρυβος αγωγός για κλοπή διαπιστευτηρίων. Από την οπτική γωνία του τελικού χρήστη, το πρόσθετο μοιάζει με ενισχυτή παραγωγικότητας. Στο παρασκήνιο, είναι μια μηχανή εξαγωγής για τα πιο ευαίσθητα κλειδιά παρόχων AI.

Η ανατομία της εκστρατείας στο JetBrains Marketplace

Η εκστρατεία είναι ενεργή από τα τέλη του 2025 και συνέχισε να προωθεί νέες κακόβουλες ενημερώσεις μέχρι τα μέσα του 2026. Οι επιτιθέμενοι εκμεταλλεύτηκαν την τεράστια αύξηση της ζήτησης για το DeepSeek και άλλες ενσωματώσεις μεγάλων γλωσσικών μοντέλων. Ονομάζοντας τα πρόσθετά τους από δημοφιλή εργαλεία AI, κατάφεραν να εξαπατήσουν χιλιάδες χρήστες. Δύο συγκεκριμένα πρόσθετα, το CodeGPT AI Assistant και το DeepSeek AI Assist, κατάφεραν να συγκεντρώσουν πάνω από 25.000 λήψεις το καθένα. Το αν αυτοί οι αριθμοί είναι οργανικοί ή διογκωμένοι από δραστηριότητα bot είναι δευτερεύον σε σχέση με το γεγονός ότι παρέμειναν διαθέσιμα για μήνες.

Η λίστα των κακόβουλων πρόσθετων που εντοπίστηκαν περιλαμβάνει:

• DeepSeek Junit Test (org.sm.yms.toolkit)
• DeepSeek Git Commit (com.json.simple.kit)
• DeepSeek FindBugs (org.bug.find.tools)
• DeepSeek AI Chat (org.translate.ai.simple)
• DeepSeek Dev AI (com.yy.test.ai.simple)
• DeepSeek AI Coding (com.dev.ai.toolkit)
• AI FindBugs (com.json.view.simple)
• AI Git Commitor (com.my.git.ai.kit)
• AI Coder Review (org.check.ai.ds)
• DeepSeek Coder AI (com.review.tool.code)
• AI Coder Assistant (org.code.assist.dev.tool)
• DeepSeek Code Review (com.coder.ai.dpt)
• CodeGPT AI Assistant (com.my.code.tools)
• DeepSeek AI Assist (ord.cp.code.ai.kit)
• Coding Simple Tool (com.dp.git.ai.tool)

Αυτά τα πρόσθετα μοιράζονται μια σχεδόν πανομοιότυπη βάση κώδικα. Για να τα χρησιμοποιήσετε, πρέπει να παρέχετε ένα κλειδί API για υπηρεσίες όπως το OpenAI, το SiliconFlow ή το DeepSeek. Μόλις εισαγάγετε το κλειδί σας στον πίνακα ρυθμίσεων, το πρόσθετο το μεταδίδει σε έναν απομακρυσμένο διακομιστή που βρίσκεται στη διεύθυνση 39.107.60[.]51. Η εξαγωγή πραγματοποιείται μέσω ενός τυπικού αιτήματος HTTP σε απλό κείμενο. Αυτή η επιλογή πρωτοκόλλου είναι ιδιαίτερα τολμηρή επειδή στερείται ακόμη και βασικής κρυπτογράφησης, καθιστώντας την κλοπή ορατή σε οποιονδήποτε παρακολουθεί την κίνηση του δικτύου.

Τα παράξενα οικονομικά των κλεμμένων κλειδιών API

Υπάρχει μια περίεργη στρατηγική δημιουργίας εσόδων ενσωματωμένη σε αυτά τα πρόσθετα. Οι επιτιθέμενοι συμπεριέλαβαν έναν τοίχο δωρεών ή ένα πληρωμένο επίπεδο εντός του λογισμικού. Όταν ένας χρήστης πληρώνει ένα μικρό ποσό, ο διακομιστής στέλνει ένα διαφορετικό, λειτουργικό κλειδί API πίσω στον πελάτη. Στη συνέχεια, το πρόσθετο χρησιμοποιεί αυτό το νέο κλειδί για τις κλήσεις του μοντέλου του. Αυτή η συμπεριφορά αποτελεί προειδοποιητικό σημάδι για κάθε εγκληματολογικό αναλυτή. Ένας νόμιμος πάροχος λογισμικού δεν μοιράζει απεριόριστα, πληρωμένα κλειδιά API για μια υπηρεσία τρίτου μέρους σε αντάλλαγμα για μια μικρή δωρεά.

Αυτός ο κύκλος υποδηλώνει ότι οι χειριστές διαχειρίζονται ένα δίκτυο κοινής χρήσης διαπιστευτηρίων. Κλέβουν κλειδιά από μια ομάδα θυμάτων και πωλούν πρόσβαση σε αυτά τα ίδια κλειδιά σε μια άλλη ομάδα. Αυτό μετατρέπει τα θύματα σε ακούσιους χρηματοδότες του επιχειρηματικού μοντέλου των επιτιθέμενων. Προληπτικά μιλώντας, πρόκειται για μια μορφή LLMjacking. Οι πραγματικοί κάτοχοι των κλειδιών πληρώνουν τους μηνιαίους λογαριασμούς χρήσης, ενώ οι επιτιθέμενοι εισπράττουν καθαρό κέρδος από τα τέλη δωρεών. Αυτό το σχέδιο υπογραμμίζει γιατί οι προγραμματιστές αποτελούν στόχους τόσο υψηλής αξίας. Ένα παραβιασμένο IDE περιέχει περισσότερα από απλό πηγαίο κώδικα. Περιέχει τα κλειδιά για την υποδομή cloud και τους οικονομικούς αγωγούς ολόκληρης της εταιρείας.

Το PromptSnatcher και η εκμετάλλευση της εμπιστοσύνης του προγράμματος περιήγησης

Ενώ το περιστατικό της JetBrains στοχεύει στο backend της διαδικασίας ανάπτυξης, μια δεύτερη εκστρατεία με το όνομα PromptSnatcher στοχεύει στη διεπαφή χρήστη. Ο ερευνητής ασφαλείας Jean-Marie R. ανακάλυψε δύο επεκτάσεις του Google Chrome που καταγράφουν ιδιωτικές συνομιλίες με chatbot AI. Αυτές οι επεκτάσεις, το Smart Adblocker και το Adblock for Browser, έχουν συνδυασμένη βάση χρηστών άνω των 100.000 ατόμων. Λειτούργησαν ως νόμιμα προγράμματα αποκλεισμού διαφημίσεων για χρόνια πριν οι προγραμματιστές εισαγάγουν λειτουργίες κλοπής δεδομένων μέσω ενημερώσεων λογισμικού.

Οι επεκτάσεις χρησιμοποιούν μια μηχανή υποκλοπής για να καταγράφουν κάθε αλληλεπίδραση που έχετε με τα ChatGPT, Claude, Gemini, Copilot και Meta AI. Συλλέγουν το πλήρες ιστορικό συνομιλιών, το συγκεκριμένο μοντέλο που χρησιμοποιήθηκε και το επίπεδο συνδρομής του λογαριασμού σας. Αυτά τα δεδομένα πηγαίνουν σε έναν διακομιστή που ελέγχεται από τον επιτιθέμενο χωρίς τη γνώση σας. Οι χειριστές κρύβουν αυτή τη δραστηριότητα υπό το πρόσχημα μιας συμβολοσειράς συγκατάθεσης "Ενισχυμένης Προστασίας". Από αρχιτεκτονικό επίπεδο, αυτές οι επεκτάσεις είναι ένας κλασικός ψηφιακός Δούρειος Ίππος. Παρέχουν μια χρήσιμη υπηρεσία —τον αποκλεισμό διαφημίσεων— για να δικαιολογήσουν την παρουσία τους στο πρόγραμμα περιήγησής σας, ενώ παράλληλα συλλέγουν την πνευματική σας ιδιοκτησία.

Οι κίνδυνοι της υποκλοπής προτροπών (prompt poaching) στην επιχείρηση

Αυτή η τάση κλοπής αλληλεπιδράσεων AI είναι γνωστή ως prompt poaching. Αποτελεί συστημική απειλή για το εταιρικό απόρρητο. Όταν ένας προγραμματιστής ζητά από μια AI να αποσφαλματώσει έναν ιδιόκτητο αλγόριθμο ή μια νομική ομάδα ζητά μια περίληψη ενός συμφωνητικού εμπιστευτικότητας, αυτά τα δεδομένα είναι εξαιρετικά ευαίσθητα. Εάν μια κακόβουλη επέκταση καταγράψει αυτή την προτροπή, η εταιρεία χάνει τον έλεγχο της πνευματικής της ιδιοκτησίας.

Σε αντίθεση με το παραδοσιακό κακόβουλο λογισμικό που επιδιώκει να κρυπτογραφήσει αρχεία ή να κλέψει τραπεζικά διαπιστευτήρια, το prompt poaching είναι μια πιο λεπτομερής μορφή εταιρικής κατασκοπείας. Τα κλεμμένα δεδομένα είναι συχνά μη δομημένα αλλά εξαιρετικά πολύτιμα. Παρέχουν πληροφορίες για τα εσωτερικά έργα μιας εταιρείας, τις τεχνικές της ευπάθειες και τη στρατηγική της κατεύθυνση. Αυτές οι επεκτάσεις είναι διαδεδομένες επειδή βασίζονται στην επιθυμία του χρήστη για μια καθαρότερη εμπειρία περιήγησης. Πολλοί χρήστες παραχωρούν σε αυτά τα εργαλεία ευρείες άδειες για ανάγνωση και αλλαγή δεδομένων σε όλους τους ιστότοπους, κάτι που είναι ακριβώς αυτό που χρειάζεται η μηχανή υποκλοπής για να λειτουργήσει.

Πρακτικά βήματα για την εξυγίανση της ροής εργασίας ανάπτυξης

Εάν το IDE ή το πρόγραμμα περιήγησής σας είναι ένα κλαμπ VIP, τα πρόσθετά σας είναι οι πορτιέρηδες. Δεν πρέπει ποτέ να αφήνετε έναν πορτιέρη να μπει χωρίς ενδελεχή έλεγχο ιστορικού. Για να αμυνθείτε έναντι αυτών των τύπων επιθέσεων στην εφοδιαστική αλυσίδα, πρέπει να κινηθείτε προς ένα μοντέλο μηδενικής εμπιστοσύνης (zero-trust) για το περιβάλλον ανάπτυξής σας. Η ενημέρωση του λειτουργικού σας συστήματος είναι μια βασική απαίτηση, αλλά δεν σας προστατεύει από ένα κακόβουλο πρόσθετο που εγκαταστήσατε οικειοθελώς.

Ξεκινήστε ελέγχοντας κάθε πρόσθετο στο IDE σας. Εάν έχετε κάποιο από τα 15 πρόσθετα που σχετίζονται με το DeepSeek και αναφέρονται παραπάνω, αφαιρέστε τα αμέσως. Μετά την αφαίρεση, πρέπει να υποθέσετε ότι τα κλειδιά API σας έχουν παραβιαστεί. Αντικαταστήστε (rotate) κάθε κλειδί που έχετε εισαγάγει ποτέ σε αυτά τα εργαλεία. Η παρακολούθηση των καταστάσεων χρέωσής σας για ασυνήθιστες αυξήσεις στη χρήση AI είναι ένα άλλο αντιδραστικό μέτρο, αλλά είναι προτιμότερο να αποτρέψετε τη διαρροή στην πηγή.

Για την ασφάλεια του προγράμματος περιήγησης, ακολουθήστε την αρχή των ελάχιστων προνομίων. Μη χρησιμοποιείτε προγράμματα αποκλεισμού διαφημίσεων που απαιτούν πρόσβαση σε "όλους τους ιστότοπους" εάν χρησιμοποιείτε επίσης αυτό το πρόγραμμα περιήγησης για ευαίσθητες εργασίες. Χρησιμοποιήστε ένα αποκλειστικό, θωρακισμένο πρόγραμμα περιήγησης για την αλληλεπίδραση με chatbot AI και κονσόλες cloud. Αυτός ο διαχωρισμός καθηκόντων εμποδίζει μια κακόβουλη επέκταση στο κύριο πρόγραμμα περιήγησής σας να βλέπει τι κάνετε στις ασφαλείς συνεδρίες σας. Τέλος, χρησιμοποιήστε ένα εργαλείο διαχείρισης μυστικών για το χειρισμό των κλειδιών API αντί να τα επικολλάτε σε πίνακες ρυθμίσεων πρόσθετων όποτε είναι δυνατόν. Αντιμετωπίστε κάθε εργαλείο τρίτου μέρους ως πιθανή ευπάθεια μέχρι να επαληθεύσετε τη συμπεριφορά του μέσω παρακολούθησης δικτύου ή ελέγχου κώδικα.

Βασικά συμπεράσματα για τους υπεύθυνους ασφαλείας

• Ελέγξτε τα marketplaces των IDE: Μην υποθέτετε ότι η διαθεσιμότητα στο JetBrains ή στο Chrome Web Store ισούται με ασφάλεια.
• Αντικαταστήστε τα κλειδιά μετά την αφαίρεση πρόσθετων: Η διαγραφή του κακόβουλου λογισμικού δεν ακυρώνει τα κλεμμένα διαπιστευτήρια.
• Εφαρμόστε φιλτράρισμα εξόδου δικτύου: Ο αποκλεισμός αιτημάτων HTTP απλού κειμένου προς άγνωστες διευθύνσεις IP μπορεί να σταματήσει πολλές βασικές προσπάθειες εξαγωγής δεδομένων.
• Επιβάλετε την απομόνωση του προγράμματος περιήγησης: Χρησιμοποιήστε ξεχωριστά προφίλ ή προγράμματα περιήγησης για ευαίσθητες αλληλεπιδράσεις AI για να περιορίσετε την εμβέλεια των κακόβουλων επεκτάσεων.
• Παρακολουθήστε τη χρήση API: Θέστε αυστηρά όρια δαπανών στους λογαριασμούς παρόχων AI για να μετριάσετε τον οικονομικό αντίκτυπο του LLMjacking.

Πηγές: Aikido Security Research, Chrome Web Store Metadata, NIST Cybersecurity Framework (Supply Chain Risk Management), MITRE ATT&CK (T1553.004: Install Root Certificate/Subvert Trust Policy).

Αποποίηση ευθύνης: Αυτό το άρθρο προορίζεται μόνο για ενημερωτικούς και εκπαιδευτικούς σκοπούς και δεν αντικαθιστά έναν επαγγελματικό έλεγχο κυβερνοασφάλειας ή μια υπηρεσία απόκρισης σε περιστατικά.