Kaip 15 netikrų DI papildinių pavertė „JetBrains Marketplace“ prisijungimo duomenų bufetu

Vakar rytą praleidau valandą audituodamas plėtinių sąrašą savo vietinėje IDE. Tai varginanti užduotis, kurią dauguma programuotojų praleidžia, nes savo kūrimo aplinkas vertiname kaip privačią šventovę. Manome, kad jei įrankis yra oficialioje prekyvietėje, pavyzdžiui, „JetBrains“, jis praėjo tam tikrą patikrą, užtikrinančią jo saugumą. Ši prielaida yra pavojinga klaida mūsų mentaliniame saugumo modelyje. Mes išleidžiame milijonus dolerių įmonių ugniasienėms ir galinių įrenginių aptikimo sistemoms, tačiau vienas programuotojas, norintis automatizuoti vienetų testą, vienu spustelėjimu gali apeiti visus gynybos sluoksnius.

„Aikido Security“ saugumo tyrėjai neseniai nustatė koordinuotą kenkėjiškų programų kampaniją, kuri išnaudoja būtent šią akląją zoną. Kampanija apima 15 kenkėjiškų papildinių, patalpintų „JetBrains Marketplace“. Šie įrankiai apsimeta DI varomais kodavimo asistentais, žadančiais generuoti „commit“ pranešimus, atlikti kodo peržiūras ir rasti klaidų. Nors jie atlieka šias užduotis, kaip reklamuojama, jie taip pat veikia kaip tylus prisijungimo duomenų vagystės kanalas. Galutinio vartotojo požiūriu papildinys atrodo kaip produktyvumo didinimo priemonė. Užkulisiuose tai yra jūsų jautriausių DI teikėjų raktų eksfiltravimo variklis.

„JetBrains“ prekyvietės kampanijos anatomija

Kampanija aktyvi nuo 2025 m. pabaigos ir tęsė naujų kenkėjiškų atnaujinimų platinimą iki 2026 m. vidurio. Užpuolikai pasinaudojo didžiuliu „DeepSeek“ ir kitų didžiųjų kalbos modelių integracijų paklausos šuoliu. Pavadinę savo papildinius populiarių DI įrankių vardais, jie sėkmingai apgavo tūkstančius vartotojų. Du konkretūs papildiniai – „CodeGPT AI Assistant“ ir „DeepSeek AI Assist“ – sugebėjo surinkti po daugiau nei 25 000 atsisiuntimų. Ar šie skaičiai yra organiški, ar išpūsti robotų veiklos, yra antraeilis dalykas, palyginti su faktu, kad jie buvo prieinami mėnesius.

Identifikuotų kenkėjiškų papildinių sąrašas apima:

• DeepSeek Junit Test (org.sm.yms.toolkit)
• DeepSeek Git Commit (com.json.simple.kit)
• DeepSeek FindBugs (org.bug.find.tools)
• DeepSeek AI Chat (org.translate.ai.simple)
• DeepSeek Dev AI (com.yy.test.ai.simple)
• DeepSeek AI Coding (com.dev.ai.toolkit)
• AI FindBugs (com.json.view.simple)
• AI Git Commitor (com.my.git.ai.kit)
• AI Coder Review (org.check.ai.ds)
• DeepSeek Coder AI (com.review.tool.code)
• AI Coder Assistant (org.code.assist.dev.tool)
• DeepSeek Code Review (com.coder.ai.dpt)
• CodeGPT AI Assistant (com.my.code.tools)
• DeepSeek AI Assist (ord.cp.code.ai.kit)
• Coding Simple Tool (com.dp.git.ai.tool)

Šių papildinių kodo bazė yra beveik identiška. Norėdami jais naudotis, turite pateikti API raktą tokioms paslaugoms kaip „OpenAI“, „SiliconFlow“ ar „DeepSeek“. Įvedus raktą nustatymų skydelyje, papildinys jį perduoda į nuotolinį serverį adresu 39.107.60[.]51. Eksfiltravimas vyksta per standartinę HTTP užklausą paprastu tekstu. Šis protokolo pasirinkimas yra ypač įžūlus, nes jame trūksta net pagrindinio šifravimo, todėl vagystė tampa matoma bet kam, kas stebi tinklo srautą.

Keista pavogtų API raktų ekonomika

Šiuose papildiniuose įdiegta savotiška monetizavimo strategija. Užpuolikai į programinę įrangą įtraukė aukojimo sieną arba mokamą lygį. Kai vartotojas sumoka nedidelį mokestį, serveris klientui atsiunčia kitą, veikiantį API raktą. Tada papildinys naudoja šį naują raktą savo modelio iškvietimams. Toks elgesys yra pavojaus signalas bet kuriam teismo ekspertizės analitikui. Teisėtas programinės įrangos teikėjas neišduoda neapribotų, mokamų trečiųjų šalių paslaugų API raktų mainais į nedidelę auką.

Šis ciklas rodo, kad operatoriai valdo prisijungimo duomenų dalijimosi tinklą. Jie vagia raktus iš vienos aukų grupės ir parduoda prieigą prie tų pačių raktų kitai grupei. Taip aukos tampa nesąmoningais užpuolikų verslo modelio finansuotojais. Kalbant proaktyviai, tai yra „LLMjacking“ forma. Tikrieji raktų savininkai moka kasmėnesines naudojimo sąskaitas, o užpuolikai renka grynąjį pelną iš aukojimo mokesčių. Ši schema pabrėžia, kodėl programuotojai yra tokie vertingi taikiniai. Kompromituota IDE apima daugiau nei tik pradinį kodą. Joje yra raktai į debesijos infrastruktūrą ir visos įmonės finansinius kanalus.

„PromptSnatcher“ ir piktnaudžiavimas naršyklės pasitikėjimu

Nors „JetBrains“ incidentas nukreiptas į programinės įrangos kūrimo proceso galinę dalį, antroji kampanija, pavadinta „PromptSnatcher“, taikosi į vartotojo sąsają. Saugumo tyrėjas Jean-Marie R. aptiko du „Google Chrome“ plėtinius, kurie fiksuoja privačius pokalbius su DI pokalbių robotais. Šie plėtiniai, „Smart Adblocker“ ir „Adblock for Browser“, kartu turi daugiau nei 100 000 vartotojų bazę. Jie ilgus metus veikė kaip teisėti reklamos blokatoriai, kol kūrėjai per programinės įrangos atnaujinimus įdiegė duomenų vagystės funkcijas.

Plėtiniai naudoja perėmimo variklį, kad įrašytų kiekvieną jūsų sąveiką su „ChatGPT“, „Claude“, „Gemini“, „Copilot“ ir „Meta AI“. Jie renka visą pokalbių istoriją, konkretų naudojamą modelį ir jūsų paskyros prenumeratos lygį. Šie duomenys be jūsų žinios patenka į užpuolikų kontroliuojamą serverį. Operatoriai slepia šią veiklą po „Enhanced Protection“ (Sustiprinta apsauga) sutikimo eilute. Architektūriniu lygmeniu šie plėtiniai yra klasikiniai skaitmeniniai Trojos arkliai. Jie teikia naudingą paslaugą – blokuoja reklamas – kad pateisintų savo buvimą jūsų naršyklėje, kol jie renka jūsų intelektinę nuosavybę.

Užklausų pasisavinimo rizika įmonėse

Ši DI sąveikų vagystės tendencija žinoma kaip užklausų pasisavinimas (angl. prompt poaching). Tai sisteminė grėsmė įmonių konfidencialumui. Kai programuotojas prašo DI ištaisyti patentuotą algoritmą arba teisininkų komanda prašo konfidencialumo sutarties santraukos, tie duomenys yra labai jautrūs. Jei kenkėjiškas plėtinys užfiksuoja tą užklausą, įmonė praranda savo intelektinės nuosavybės kontrolę.

Skirtingai nuo tradicinių kenkėjiškų programų, kurios siekia užšifruoti failus ar pavogti banko prisijungimo duomenis, užklausų pasisavinimas yra tikslesnė pramoninio šnipinėjimo forma. Pavogti duomenys dažnai yra nestruktūrizuoti, tačiau itin vertingi. Jie suteikia įžvalgų apie įmonės vidinius projektus, jos technines spragas ir strateginę kryptį. Šie plėtiniai yra paplitę, nes remiasi vartotojo noru turėti švaresnę naršymo patirtį. Daugelis vartotojų suteikia šiems įrankiams plačius leidimus skaityti ir keisti duomenis visose svetainėse, o tai yra būtent tai, ko reikia perėmimo varikliui veikti.

Praktiniai žingsniai, kaip išvalyti kūrimo darbo eigą

Jei jūsų IDE ar naršyklė yra VIP klubas, jūsų papildiniai yra apsaugininkai. Niekada neturėtumėte įleisti apsaugininko be nuodugnaus asmens patikrinimo. Norėdami apsisaugoti nuo tokio tipo tiekimo grandinės atakų, turite pereiti prie nulinio pasitikėjimo (angl. zero-trust) modelio savo kūrimo aplinkoje. Operacinės sistemos atnaujinimas yra bazinis reikalavimas, tačiau jis neapsaugo jūsų nuo kenkėjiško papildinio, kurį įsidiegėte savanoriškai.

Pradėkite nuo kiekvieno savo IDE papildinio audito. Jei turite kurį nors iš 15 aukščiau išvardytų su „DeepSeek“ susijusių papildinių, nedelsdami jį pašalinkite. Po pašalinimo turite daryti prielaidą, kad jūsų API raktai yra kompromituoti. Pakeiskite kiekvieną raktą, kurį kada nors įvedėte į tuos įrankius. Sąskaitų išrašų stebėjimas dėl neįprastų DI naudojimo šuolių yra dar viena reaktyvi priemonė, tačiau geriau užkirsti kelią nutekėjimui šaltinyje.

Naršyklės saugumui vadovaukitės mažiausių privilegijų principu. nenaudokite reklamos blokatorių, kuriems reikalinga prieiga prie „visų svetainių“, jei tą pačią naršyklę naudojate ir jautriam darbui. Sąveikai su DI pokalbių robotais ir debesijos konsolėmis naudokite tam skirtą, sustiprintą naršyklę. Šis pareigų atskyrimas neleidžia kenkėjiškam plėtiniui jūsų pagrindinėje naršyklėje matyti, ką darote saugiose sesijose. Galiausiai, kai tik įmanoma, API raktams tvarkyti naudokite paslapčių valdymo įrankį, užuot klijavę juos į papildinių nustatymų skydelius. Kiekvieną trečiosios šalies įrankį vertinkite kaip potencialią spragą, kol nepatikrinote jo elgsenos stebėdami tinklą arba peržiūrėdami kodą.

Svarbiausios įžvalgos saugumo vadovams

• Audituokite IDE prekyvietes: Nemanykite, kad prieinamumas „JetBrains“ ar „Chrome Web Store“ reiškia saugumą.
• Pakeiskite raktus po papildinio pašalinimo: Kenkėjiškos programos ištrynimas nepanaikina pavogtų prisijungimo duomenų.
• Įdiekite tinklo išėjimo filtravimą: Blokuojant paprasto teksto HTTP užklausas į nežinomus IP adresus galima sustabdyti daugelį pagrindinių eksfiltravimo bandymų.
• Užtikrinkite naršyklės izoliaciją: Jautrioms DI sąveikoms naudokite atskirus profilius arba naršykles, kad apribotumėte kenkėjiškų plėtinių pasiekiamumą.
• Stebėkite API naudojimą: Nustatykite griežtus išlaidų limitus DI teikėjų paskyrose, kad sušvelnintumėte finansinį „LLMjacking“ poveikį.

Šaltiniai: Aikido Security Research, Chrome Web Store Metadata, NIST Cybersecurity Framework (Supply Chain Risk Management), MITRE ATT&CK (T1553.004: Install Root Certificate/Subvert Trust Policy).

Atsakomybės apribojimas: Šis straipsnis yra skirtas tik informaciniais ir švietimo tikslais ir nepakeičia profesionalaus kibernetinio saugumo audito ar reagavimo į incidentus paslaugų.