Come 15 finti plugin AI hanno trasformato il Marketplace di JetBrains in un buffet di credenziali

Ho trascorso un'ora ieri mattina a controllare l'elenco delle estensioni sul mio IDE locale. È un compito noioso che la maggior parte degli sviluppatori salta perché trattiamo i nostri ambienti di sviluppo come un santuario privato. Presumiamo che se uno strumento esiste su un marketplace ufficiale come JetBrains, abbia superato un livello di controllo che lo rende sicuro. Questa supposizione è una pericolosa configurazione errata nel nostro modello mentale di sicurezza. Spendiamo milioni di dollari in firewall aziendali e sistemi di rilevamento degli endpoint, eppure un singolo sviluppatore che cerca di automatizzare un unit test può bypassare ogni livello di difesa con un solo clic.

I ricercatori di sicurezza di Aikido Security hanno recentemente identificato una campagna malware coordinata che sfrutta esattamente questo punto cieco. La campagna coinvolge 15 plugin malevoli ospitati sul Marketplace di JetBrains. Questi strumenti si mascherano da assistenti di codifica basati sull'intelligenza artificiale, promettendo di generare messaggi di commit, condurre revisioni del codice e trovare bug. Sebbene eseguano questi compiti come pubblicizzato, fungono anche da pipeline silenziosa per il furto di credenziali. Dal punto di vista dell'utente finale, il plugin sembra un potenziatore di produttività. Dietro le quinte, è un motore di esfiltrazione per le tue chiavi dei provider AI più sensibili.

L'anatomia della campagna sul marketplace di JetBrains

La campagna è attiva dalla fine del 2025 e ha continuato a spingere nuovi aggiornamenti malevoli fino alla metà del 2026. Gli aggressori hanno sfruttato l'enorme aumento della domanda di integrazioni per DeepSeek e altri modelli linguistici di grandi dimensioni. Nominando i loro plugin come popolari strumenti di IA, sono riusciti a ingannare migliaia di utenti. Due plugin specifici, CodeGPT AI Assistant e DeepSeek AI Assist, sono riusciti a totalizzare oltre 25.000 download ciascuno. Che questi numeri siano organici o gonfiati dall'attività di bot è secondario rispetto al fatto che siano rimasti disponibili per mesi.

L'elenco dei plugin malevoli identificati include:

• DeepSeek Junit Test (org.sm.yms.toolkit)
• DeepSeek Git Commit (com.json.simple.kit)
• DeepSeek FindBugs (org.bug.find.tools)
• DeepSeek AI Chat (org.translate.ai.simple)
• DeepSeek Dev AI (com.yy.test.ai.simple)
• DeepSeek AI Coding (com.dev.ai.toolkit)
• AI FindBugs (com.json.view.simple)
• AI Git Commitor (com.my.git.ai.kit)
• AI Coder Review (org.check.ai.ds)
• DeepSeek Coder AI (com.review.tool.code)
• AI Coder Assistant (org.code.assist.dev.tool)
• DeepSeek Code Review (com.coder.ai.dpt)
• CodeGPT AI Assistant (com.my.code.tools)
• DeepSeek AI Assist (ord.cp.code.ai.kit)
• Coding Simple Tool (com.dp.git.ai.tool)

Questi plugin condividono una base di codice quasi identica. Per utilizzarli, è necessario fornire una chiave API per servizi come OpenAI, SiliconFlow o DeepSeek. Una volta inserita la chiave nel pannello delle impostazioni, il plugin la trasmette a un server remoto situato all'indirizzo 39.107.60[.]51. L'esfiltrazione avviene tramite una richiesta HTTP standard in testo in chiaro. Questa scelta di protocollo è particolarmente audace perché manca anche di una crittografia di base, rendendo il furto visibile a chiunque monitori il traffico di rete.

La bizzarra economia delle chiavi API rubate

C'è una peculiare strategia di monetizzazione incorporata in questi plugin. Gli aggressori hanno incluso un "donation wall" o un livello a pagamento all'interno del software. Quando un utente paga una piccola somma, il server invia una chiave API diversa e funzionante al client. Il plugin utilizza quindi questa nuova chiave per le sue chiamate al modello. Questo comportamento è un segnale d'allarme per qualsiasi analista forense. Un fornitore di software legittimo non distribuisce chiavi API a pagamento e senza restrizioni per un servizio di terze parti in cambio di una piccola donazione.

Questo ciclo suggerisce che gli operatori stiano gestendo un giro di condivisione di credenziali. Rubano le chiavi a un gruppo di vittime e vendono l'accesso a quelle stesse chiavi a un altro gruppo. Questo trasforma le vittime negli involontari finanziatori del modello di business degli aggressori. In termini proattivi, questa è una forma di LLMjacking. I legittimi proprietari delle chiavi pagano le fatture di utilizzo mensili mentre gli aggressori incassano il profitto netto dalle commissioni di donazione. Questo schema evidenzia perché gli sviluppatori siano bersagli di così alto valore. Un IDE compromesso contiene molto più del semplice codice sorgente. Contiene le chiavi per l'infrastruttura cloud e le pipeline finanziarie dell'intera azienda.

PromptSnatcher e lo sfruttamento della fiducia nel browser

Mentre l'incidente di JetBrains prende di mira il backend del processo di sviluppo, una seconda campagna denominata PromptSnatcher prende di mira l'interfaccia utente. Il ricercatore di sicurezza Jean-Marie R. ha scoperto due estensioni di Google Chrome che catturano conversazioni private con chatbot AI. Queste estensioni, Smart Adblocker e Adblock for Browser, hanno una base utenti combinata di oltre 100.000 persone. Hanno funzionato come legittimi ad blocker per anni prima che gli sviluppatori introducessero funzionalità di furto dati tramite aggiornamenti software.

Le estensioni utilizzano un motore di intercettazione per registrare ogni interazione con ChatGPT, Claude, Gemini, Copilot e Meta AI. Raccolgono l'intera cronologia delle conversazioni, il modello specifico utilizzato e il livello di abbonamento del tuo account. Questi dati vengono inviati a un server controllato dall'aggressore a tua insaputa. Gli operatori nascondono questa attività sotto le spoglie di una stringa di consenso per la "Protezione Avanzata". A livello architettonico, queste estensioni sono un classico cavallo di Troia digitale. Forniscono un servizio utile — bloccare gli annunci — per giustificare la loro presenza nel browser mentre raccolgono la tua proprietà intellettuale.

I rischi del prompt poaching in ambito aziendale

Questa tendenza a rubare le interazioni AI è nota come prompt poaching. È una minaccia sistemica alla riservatezza aziendale. Quando uno sviluppatore chiede a un'IA di eseguire il debug di un algoritmo proprietario o un team legale chiede un riassunto di un accordo di non divulgazione, quei dati sono estremamente sensibili. Se un'estensione malevola cattura quel prompt, l'azienda perde il controllo sulla sua proprietà intellettuale.

A differenza del malware tradizionale che cerca di crittografare file o rubare credenziali bancarie, il prompt poaching è una forma più granulare di spionaggio aziendale. I dati rubati sono spesso non strutturati ma estremamente preziosi. Forniscono informazioni sui progetti interni di un'azienda, sulle sue vulnerabilità tecniche e sulla sua direzione strategica. Queste estensioni sono pervasive perché fanno leva sul desiderio dell'utente di un'esperienza di navigazione più pulita. Molti utenti concedono a questi strumenti ampi permessi per leggere e modificare i dati su tutti i siti web, che è esattamente ciò di cui il motore di intercettazione ha bisogno per funzionare.

Passaggi pratici per sanificare il flusso di lavoro di sviluppo

Se il tuo IDE o il tuo browser sono un club VIP, i tuoi plugin sono i buttafuori. Non dovresti mai lasciare entrare un buttafuori senza un accurato controllo dei precedenti. Per difendersi da questi tipi di attacchi alla supply chain, è necessario passare a un modello zero-trust per il proprio ambiente di sviluppo. L'aggiornamento del sistema operativo è un requisito di base, ma non ti protegge da un plugin malevolo che hai installato volontariamente.

Inizia controllando ogni plugin nel tuo IDE. Se hai uno dei 15 plugin relativi a DeepSeek elencati sopra, rimuovilo immediatamente. Dopo la rimozione, devi presumere che le tue chiavi API siano compromesse. Ruota ogni chiave che hai inserito in quegli strumenti. Monitorare gli estratti conto per picchi insoliti nell'utilizzo dell'IA è un'altra misura reattiva, ma è meglio prevenire la fuga alla fonte.

Per la sicurezza del browser, segui il principio del privilegio minimo. Non utilizzare ad blocker che richiedono l'accesso a "tutti i siti web" se utilizzi quel browser anche per lavori sensibili. Utilizza un browser dedicato e protetto per interagire con i chatbot AI e le console cloud. Questa separazione dei compiti impedisce a un'estensione malevola nel tuo browser principale di vedere cosa fai nelle tue sessioni sicure. Infine, usa uno strumento di gestione dei segreti per gestire le chiavi API invece di incollarle nei pannelli delle impostazioni dei plugin quando possibile. Tratta ogni strumento di terze parti come una potenziale vulnerabilità finché non ne avrai verificato il comportamento tramite il monitoraggio della rete o la revisione del codice.

Punti chiave per i responsabili della sicurezza

• Controllare i marketplace degli IDE: Non dare per scontato che la disponibilità su JetBrains o sul Chrome Web Store equivalga alla sicurezza.
• Ruotare le chiavi dopo la rimozione dei plugin: Eliminare il malware non invalida le credenziali rubate.
• Implementare il filtraggio del traffico di rete in uscita: Bloccare le richieste HTTP in testo in chiaro verso indirizzi IP sconosciuti può fermare molti tentativi di esfiltrazione di base.
• Imporre l'isolamento del browser: Utilizzare profili o browser separati per le interazioni AI sensibili per limitare la portata delle estensioni malevole.
• Monitorare l'utilizzo delle API: Impostare limiti di spesa rigorosi sugli account dei provider AI per mitigare l'impatto finanziario dell'LLMjacking.

Fonti: Aikido Security Research, Chrome Web Store Metadata, NIST Cybersecurity Framework (Supply Chain Risk Management), MITRE ATT&CK (T1553.004: Install Root Certificate/Subvert Trust Policy).

Dichiarazione di non responsabilità: Questo articolo è solo a scopo informativo ed educativo e non sostituisce un audit professionale di cybersicurezza o un servizio di risposta agli incidenti.