Kā 15 viltoti AI spraudņi pārvērta JetBrains Marketplace par akreditācijas datu bufeti

Vakar no rīta es pavadīju stundu, auditējot paplašinājumu sarakstu savā lokālajā IDE. Tas ir apnicīgs uzdevums, ko lielākā daļa izstrādātāju izlaiž, jo mēs izturamies pret savām izstrādes vidēm kā pret privātu svētnīcu. Mēs pieņemam, ka, ja rīks eksistē oficiālā tirgū, piemēram, JetBrains, tas ir izgājis pārbaudes līmeni, kas padara to drošu. Šis pieņēmums ir bīstama nepareiza konfigurācija mūsu drošības mentālajā modelī. Mēs tērējam miljoniem dolāru uzņēmumu ugunsmūriem un galiekārtu noteikšanas sistēmām, tomēr viens izstrādātājs, kurš vēlas automatizēt vienības testu, ar vienu klikšķi var apiet katru aizsardzības slāni.

Aikido Security drošības pētnieki nesen identificēja koordinētu ļaunprogrammatūras kampaņu, kas izmanto tieši šo vājo vietu. Kampaņa ietver 15 ļaunprātīgus spraudņus, kas izvietoti JetBrains Marketplace. Šie rīki maskējas par AI darbinātiem kodēšanas asistentiem, solot ģenerēt "commit" ziņojumus, veikt koda pārskatus un meklēt kļūdas. Lai gan tie veic šos uzdevumus, kā reklamēts, tie darbojas arī kā kluss cauruļvads akreditācijas datu zādzībai. No galalietotāja perspektīvas spraudnis izskatās pēc produktivitātes paaugstinātāja. Aizkulisēs tas ir eksfiltrācijas dzinējs jūsu jutīgākajām AI pakalpojumu sniedzēju atslēgām.

JetBrains Marketplace kampaņas anatomija

Kampaņa ir aktīva kopš 2025. gada beigām un turpināja izplatīt jaunus ļaunprātīgus atjauninājumus līdz pat 2026. gada vidum. Uzbrucēji izmantoja milzīgo pieprasījuma pieaugumu pēc DeepSeek un citu lielo valodu modeļu integrācijām. Nosaucot savus spraudņus populāru AI rīku vārdos, viņi veiksmīgi apmānīja tūkstošiem lietotāju. Diviem konkrētiem spraudņiem, CodeGPT AI Assistant un DeepSeek AI Assist, izdevās savākt vairāk nekā 25 000 lejupielāžu katram. Tas, vai šie skaitļi ir organiski vai botu aktivitātes palielināti, ir otršķirīgi pret faktu, ka tie bija pieejami mēnešiem ilgi.

Identificēto ļaunprātīgo spraudņu sarakstā ir:

• DeepSeek Junit Test (org.sm.yms.toolkit)
• DeepSeek Git Commit (com.json.simple.kit)
• DeepSeek FindBugs (org.bug.find.tools)
• DeepSeek AI Chat (org.translate.ai.simple)
• DeepSeek Dev AI (com.yy.test.ai.simple)
• DeepSeek AI Coding (com.dev.ai.toolkit)
• AI FindBugs (com.json.view.simple)
• AI Git Commitor (com.my.git.ai.kit)
• AI Coder Review (org.check.ai.ds)
• DeepSeek Coder AI (com.review.tool.code)
• AI Coder Assistant (org.code.assist.dev.tool)
• DeepSeek Code Review (com.coder.ai.dpt)
• CodeGPT AI Assistant (com.my.code.tools)
• DeepSeek AI Assist (ord.cp.code.ai.kit)
• Coding Simple Tool (com.dp.git.ai.tool)

Šiem spraudņiem ir gandrīz identiska koda bāze. Lai tos izmantotu, jums ir jānorāda API atslēga tādiem pakalpojumiem kā OpenAI, SiliconFlow vai DeepSeek. Tiklīdz ievadāt atslēgu iestatījumu panelī, spraudnis to pārsūta uz attālo serveri, kas atrodas 39.107.60[.]51. Eksfiltrācija notiek, izmantojot standarta HTTP pieprasījumu atklātā tekstā. Šī protokola izvēle ir īpaši pārdroša, jo tam trūkst pat pamata šifrēšanas, padarot zādzību redzamu ikvienam, kurš uzrauga tīkla trafiku.

Zagto API atslēgu dīvainā ekonomika

Šajos spraudņos ir iestrādāta savdabīga monetizācijas stratēģija. Uzbrucēji programmatūrā iekļāva ziedojumu sienu vai maksas līmeni. Kad lietotājs samaksā nelielu maksu, serveris klientam nosūta atpakaļ citu, funkcionējošu API atslēgu. Pēc tam spraudnis izmanto šo jauno atslēgu saviem modeļu izsaukumiem. Šāda uzvedība ir trauksmes signāls jebkuram tiesu ekspertīzes analītiķim. Likumīgs programmatūras nodrošinātājs neizsniedz neierobežotas, apmaksātas trešās puses pakalpojuma API atslēgas apmaiņā pret nelielu ziedojumu.

Šis cikls liecina, ka operatori vada akreditācijas datu koplietošanas loku. Viņi nozog atslēgas no vienas upuru grupas un pārdod piekļuvi šīm pašām atslēgām citai grupai. Tas pārvērš upurus par neapzinātiem uzbrucēju biznesa modeļa finansētājiem. Proaktīvi runājot, šis ir LLMjacking veids. Īstie atslēgu īpašnieki apmaksā ikmēneša lietošanas rēķinus, kamēr uzbrucēji gūst tīru peļņu no ziedojumu maksām. Šī shēma uzsver, kāpēc izstrādātāji ir tik vērtīgi mērķi. Kompromitēta IDE satur vairāk nekā tikai pirmkodu. Tā satur atslēgas uz mākoņa infrastruktūru un visa uzņēmuma finanšu cauruļvadiem.

PromptSnatcher un pārlūkprogrammas uzticības izmantošana

Kamēr JetBrains incidents ir vērsts uz izstrādes procesa aizmugursistēmu, otrā kampaņa ar nosaukumu PromptSnatcher ir vērsta uz lietotāja saskarni. Drošības pētnieks Jean-Marie R. atklāja divus Google Chrome paplašinājumus, kas tver privātas sarunas ar AI tērzēšanas robotiem. Šiem paplašinājumiem, Smart Adblocker un Adblock for Browser, kopējā lietotāju bāze pārsniedz 100 000 cilvēku. Tie gadiem ilgi darbojās kā likumīgi reklāmu bloķētāji, pirms izstrādātāji ar programmatūras atjauninājumiem ieviesa datu zagšanas funkcijas.

Paplašinājumi izmanto pārtveršanas dzinēju, lai ierakstītu katru jūsu mijiedarbību ar ChatGPT, Claude, Gemini, Copilot un Meta AI. Tie apkopo pilnu sarunu vēsturi, konkrēto izmantoto modeli un jūsu konta abonēšanas līmeni. Šie dati bez jūsu ziņas nonāk uzbrucēja kontrolētā serverī. Operatori slēpj šo darbību zem "Enhanced Protection" (Uzlabota aizsardzība) piekrišanas virknes. No arhitektūras viedokļa šie paplašinājumi ir klasisks digitālais Trojas zirgs. Tie nodrošina noderīgu pakalpojumu — reklāmu bloķēšanu —, lai attaisnotu savu klātbūtni jūsu pārlūkprogrammā, kamēr tie ievāc jūsu intelektuālo īpašumu.

Prompt poaching riski uzņēmumā

Šī AI mijiedarbību zagšanas tendence ir pazīstama kā "prompt poaching". Tas ir sistēmisks drauds korporatīvajai konfidencialitātei. Kad izstrādātājs lūdz AI atkļūdot patentētu algoritmu vai juridiskā komanda lūdz kopsavilkumu par neizpaušanas līgumu, šie dati ir ļoti jutīgi. Ja ļaunprātīgs paplašinājums tver šo uzvedni, uzņēmums zaudē kontroli pār savu intelektuālo īpašumu.

Atšķirībā no tradicionālās ļaunprogrammatūras, kas mēģina šifrēt failus vai nozagt bankas pieteikšanās datus, "prompt poaching" ir smalkāks korporatīvās spiegošanas veids. Nozagtie dati bieži ir nestrukturēti, bet ārkārtīgi vērtīgi. Tie sniedz ieskatu uzņēmuma iekšējos projektos, tā tehniskajās ievainojamībās un stratēģiskajā virzienā. Šie paplašinājumi ir izplatīti, jo tie balstās uz lietotāja vēlmi pēc tīrākas pārlūkošanas pieredzes. Daudzi lietotāji piešķir šiem rīkiem plašas atļaujas lasīt un mainīt datus visās tīmekļa vietnēs, kas ir tieši tas, kas pārtveršanas dzinējam nepieciešams darbībai.

Praktiski soļi izstrādes darbplūsmas sanācijai

Ja jūsu IDE vai pārlūkprogramma ir VIP klubs, jūsu spraudņi ir apsargi. Jūs nekad nedrīkstat ielaist apsargu bez rūpīgas pagātnes pārbaudes. Lai aizsargātos pret šāda veida piegādes ķēdes uzbrukumiem, jums ir jāpāriet uz nulles uzticības (zero-trust) modeli savā izstrādes vidē. Operētājsistēmas ielāpu instalēšana ir pamatprasība, taču tā nepasargā jūs no ļaunprātīga spraudņa, kuru esat brīvprātīgi instalējis.

Sāciet ar katra spraudņa auditu savā IDE. Ja jums ir kāds no 15 iepriekš uzskaitītajiem ar DeepSeek saistītajiem spraudņiem, nekavējoties noņemiet to. Pēc noņemšanas jums jāpieņem, ka jūsu API atslēgas ir kompromitētas. Nomainiet (rotate) katru atslēgu, ko jebkad esat ievadījis šajos rīkos. Rēķinu uzraudzība par neparastiem AI izmantošanas lēcieniem ir vēl viens reaktīvs pasākums, taču labāk ir novērst noplūdi avotā.

Pārlūkprogrammas drošībai ievērojiet minimālo privilēģiju principu. Neizmantojiet reklāmu bloķētājus, kuriem nepieciešama piekļuve "visām tīmekļa vietnēm", ja šo pārlūkprogrammu izmantojat arī jutīgam darbam. Izmantojiet īpašu, nostiprinātu pārlūkprogrammu mijiedarbībai ar AI tērzēšanas robotiem un mākoņa konsolēm. Šī pienākumu nodalīšana neļauj ļaunprātīgam paplašinājumam jūsu galvenajā pārlūkprogrammā redzēt to, ko darāt drošajās sesijās. Visbeidzot, kad vien iespējams, izmantojiet noslēpumu pārvaldības rīku API atslēgu apstrādei, nevis ielīmējiet tās spraudņu iestatījumu paneļos. Izturieties pret katru trešās puses rīku kā pret potenciālu ievainojamību, līdz esat pārbaudījis tā uzvedību, izmantojot tīkla uzraudzību vai koda pārskatīšanu.

Galvenās atziņas drošības vadītājiem

• Auditējiet IDE tirgus laukumus: Nepieņemiet, ka pieejamība JetBrains vai Chrome interneta veikalā nozīmē drošību.
• Nomainiet atslēgas pēc spraudņa noņemšanas: Ļaunprogrammatūras dzēšana nepadara nozagtos akreditācijas datus par nederīgiem.
• Ieviesiet tīkla izejošās plūsmas filtrēšanu: Atklāta teksta HTTP pieprasījumu bloķēšana uz nezināmām IP adresēm var apturēt daudzus pamata eksfiltrācijas mēģinājumus.
• Ieviesiet pārlūkprogrammas izolāciju: Izmantojiet atsevišķus profilus vai pārlūkprogrammas jutīgām AI mijiedarbībām, lai ierobežotu ļaunprātīgu paplašinājumu sasniedzamību.
• Pārraugiet API izmantošanu: Nosakiet stingrus tēriņu ierobežojumus AI pakalpojumu sniedzēju kontos, lai mazinātu LLMjacking finansiālo ietekmi.

Avoti: Aikido Security Research, Chrome Web Store Metadata, NIST Cybersecurity Framework (Supply Chain Risk Management), MITRE ATT&CK (T1553.004: Install Root Certificate/Subvert Trust Policy).

Atruna: Šis raksts ir paredzēts tikai informatīviem un izglītojošiem nolūkiem un neaizstāj profesionālu kiberdrošības auditu vai incidentu reaģēšanas pakalpojumu.