Cómo 15 complementos de IA falsos convirtieron el Marketplace de JetBrains en un festín de credenciales

Pasé una hora ayer por la mañana auditando la lista de extensiones en mi IDE local. Es una tarea tediosa que la mayoría de los desarrolladores omiten porque tratamos nuestros entornos de desarrollo como un santuario privado. Asumimos que si una herramienta existe en un mercado oficial como JetBrains, ha pasado un nivel de escrutinio que la hace segura. Esta suposición es una configuración errónea peligrosa en nuestro modelo mental de seguridad. Gastamos millones de dólares en firewalls empresariales y sistemas de detección de endpoints, pero un solo desarrollador que busca automatizar una prueba unitaria puede eludir cada capa de defensa con un solo clic.

Investigadores de seguridad de Aikido Security identificaron recientemente una campaña de malware coordinada que explota precisamente este punto ciego. La campaña involucra 15 complementos maliciosos alojados en el Marketplace de JetBrains. Estas herramientas se hacen pasar por asistentes de codificación impulsados por IA, prometiendo generar mensajes de commit, realizar revisiones de código y encontrar errores. Si bien realizan estas tareas según lo anunciado, también funcionan como un conducto silencioso para el robo de credenciales. Desde la perspectiva del usuario final, el complemento parece un potenciador de la productividad. Entre bastidores, es un motor de exfiltración para sus claves de proveedores de IA más sensibles.

La anatomía de la campaña del marketplace de JetBrains

La campaña ha estado activa desde finales de 2025 y continuó lanzando nuevas actualizaciones maliciosas hasta mediados de 2026. Los atacantes aprovecharon el aumento masivo en la demanda de integraciones de DeepSeek y otros modelos de lenguaje extensos. Al nombrar sus complementos como herramientas de IA populares, lograron engañar a miles de usuarios. Dos complementos específicos, CodeGPT AI Assistant y DeepSeek AI Assist, lograron acumular más de 25,000 descargas cada uno. Si estas cifras son orgánicas o están infladas por la actividad de bots es secundario al hecho de que permanecieron disponibles durante meses.

La lista de complementos maliciosos identificados incluye:

• DeepSeek Junit Test (org.sm.yms.toolkit)
• DeepSeek Git Commit (com.json.simple.kit)
• DeepSeek FindBugs (org.bug.find.tools)
• DeepSeek AI Chat (org.translate.ai.simple)
• DeepSeek Dev AI (com.yy.test.ai.simple)
• DeepSeek AI Coding (com.dev.ai.toolkit)
• AI FindBugs (com.json.view.simple)
• AI Git Commitor (com.my.git.ai.kit)
• AI Coder Review (org.check.ai.ds)
• DeepSeek Coder AI (com.review.tool.code)
• AI Coder Assistant (org.code.assist.dev.tool)
• DeepSeek Code Review (com.coder.ai.dpt)
• CodeGPT AI Assistant (com.my.code.tools)
• DeepSeek AI Assist (ord.cp.code.ai.kit)
• Coding Simple Tool (com.dp.git.ai.tool)

Estos complementos comparten un código base casi idéntico. Para usarlos, debe proporcionar una clave de API para servicios como OpenAI, SiliconFlow o DeepSeek. Una vez que ingresa su clave en el panel de configuración, el complemento la transmite a un servidor remoto ubicado en 39.107.60[.]51. La exfiltración ocurre a través de una solicitud HTTP estándar en texto plano. Esta elección de protocolo es particularmente audaz porque carece incluso de cifrado básico, lo que hace que el robo sea visible para cualquiera que monitoree el tráfico de la red.

La extraña economía de las claves de API robadas

Hay una peculiar estrategia de monetización integrada en estos complementos. Los atacantes incluyeron un muro de donaciones o un nivel de pago dentro del software. Cuando un usuario paga una pequeña tarifa, el servidor envía una clave de API funcional diferente de vuelta al cliente. El complemento luego usa esta nueva clave para sus llamadas al modelo. Este comportamiento es una señal de alerta para cualquier analista forense. Un proveedor de software legítimo no entrega claves de API pagadas y sin restricciones para un servicio de terceros a cambio de una pequeña donación.

Este ciclo sugiere que los operadores están ejecutando una red de intercambio de credenciales. Roban claves de un grupo de víctimas y venden el acceso a esas mismas claves a otro grupo. Esto convierte a las víctimas en los financiadores involuntarios del modelo de negocio de los atacantes. Hablando proactivamente, esta es una forma de LLMjacking. Los propietarios legítimos de las claves pagan las facturas de uso mensual mientras los atacantes obtienen ganancias puras de las tarifas de donación. Este esquema resalta por qué los desarrolladores son objetivos de tan alto valor. Un IDE comprometido contiene más que solo código fuente. Contiene las llaves de la infraestructura en la nube y los conductos financieros de toda la empresa.

PromptSnatcher y la explotación de la confianza del navegador

Mientras que el incidente de JetBrains apunta al backend del proceso de desarrollo, una segunda campaña llamada PromptSnatcher apunta a la interfaz de usuario. El investigador de seguridad Jean-Marie R. descubrió dos extensiones de Google Chrome que capturan conversaciones privadas con chatbots de IA. Estas extensiones, Smart Adblocker y Adblock for Browser, tienen una base de usuarios combinada de más de 100,000 personas. Funcionaron como bloqueadores de anuncios legítimos durante años antes de que los desarrolladores introdujeran funciones de robo de datos a través de actualizaciones de software.

Las extensiones utilizan un motor de interceptación para registrar cada interacción que tiene con ChatGPT, Claude, Gemini, Copilot y Meta AI. Recopilan el historial completo de la conversación, el modelo específico utilizado y su nivel de suscripción de cuenta. Estos datos van a un servidor controlado por el atacante sin su conocimiento. Los operadores ocultan esta actividad bajo la apariencia de una cadena de consentimiento de "Protección mejorada". Desde un nivel arquitectónico, estas extensiones son un clásico caballo de Troya digital. Proporcionan un servicio útil —bloquear anuncios— para justificar su presencia en su navegador mientras cosechan su propiedad intelectual.

Los riesgos del robo de prompts en la empresa

Esta tendencia de robar interacciones de IA se conoce como "prompt poaching" (robo de prompts). Es una amenaza sistémica para la confidencialidad corporativa. Cuando un desarrollador le pide a una IA que depure un algoritmo patentado o un equipo legal solicita un resumen de un acuerdo de confidencialidad, esos datos son altamente sensibles. Si una extensión maliciosa captura ese prompt, la empresa pierde el control sobre su propiedad intelectual.

A diferencia del malware tradicional que busca cifrar archivos o robar credenciales bancarias, el robo de prompts es una forma más granular de espionaje corporativo. Los datos robados suelen estar desestructurados pero son extremadamente valiosos. Proporcionan información sobre los proyectos internos de una empresa, sus vulnerabilidades técnicas y su dirección estratégica. Estas extensiones son omnipresentes porque confían en el deseo del usuario de una experiencia de navegación más limpia. Muchos usuarios otorgan a estas herramientas permisos amplios para leer y cambiar datos en todos los sitios web, que es exactamente lo que el motor de interceptación necesita para funcionar.

Pasos prácticos para sanear su flujo de trabajo de desarrollo

Si su IDE o navegador es un club VIP, sus complementos son los porteros. Nunca debe dejar entrar a un portero sin una verificación de antecedentes exhaustiva. Para defenderse contra este tipo de ataques a la cadena de suministro, debe avanzar hacia un modelo de confianza cero para su entorno de desarrollo. Parchear su sistema operativo es un requisito básico, pero no lo protege de un complemento malicioso que instaló voluntariamente.

Comience auditando cada complemento en su IDE. Si tiene alguno de los 15 complementos relacionados con DeepSeek enumerados anteriormente, elimínelos de inmediato. Después de la eliminación, debe asumir que sus claves de API están comprometidas. Rote cada clave que haya ingresado en esas herramientas. Monitorear sus estados de facturación para detectar picos inusuales en el uso de IA es otra medida reactiva, pero es mejor prevenir la fuga en la fuente.

Para la seguridad del navegador, siga el principio de privilegio mínimo. No use bloqueadores de anuncios que requieran acceso a "todos los sitios web" si también usa ese navegador para trabajos sensibles. Use un navegador dedicado y reforzado para interactuar con chatbots de IA y consolas en la nube. Esta separación de funciones evita que una extensión maliciosa en su navegador principal vea lo que hace en sus sesiones seguras. Finalmente, use una herramienta de gestión de secretos para manejar las claves de API en lugar de pegarlas en los paneles de configuración de los complementos siempre que sea posible. Trate cada herramienta de terceros como una vulnerabilidad potencial hasta que haya verificado su comportamiento a través del monitoreo de red o la revisión de código.

Conclusiones clave para los líderes de seguridad

• Audite los marketplaces de IDE: No asuma que la disponibilidad en JetBrains o en la Chrome Web Store equivale a seguridad.
• Rote las claves después de eliminar complementos: Eliminar el malware no invalida las credenciales robadas.
• Implemente filtrado de salida de red: Bloquear solicitudes HTTP en texto plano a direcciones IP desconocidas puede detener muchos intentos básicos de exfiltración.
• Imponga el aislamiento del navegador: Use perfiles o navegadores separados para interacciones sensibles de IA para limitar el alcance de las extensiones maliciosas.
• Monitoree el uso de la API: Establezca límites de gasto estrictos en las cuentas de proveedores de IA para mitigar el impacto financiero del LLMjacking.

Fuentes: Aikido Security Research, Chrome Web Store Metadata, NIST Cybersecurity Framework (Supply Chain Risk Management), MITRE ATT&CK (T1553.004: Install Root Certificate/Subvert Trust Policy).

Descargo de responsabilidad: Este artículo es solo para fines informativos y educativos y no reemplaza una auditoría de ciberseguridad profesional o un servicio de respuesta a incidentes.