Jak 15 fałszywych wtyczek AI zmieniło JetBrains Marketplace w bufet z poświadczeniami

Spędziłem wczoraj rano godzinę na audycie listy rozszerzeń w moim lokalnym IDE. To żmudne zadanie, które większość deweloperów pomija, ponieważ traktujemy nasze środowiska programistyczne jak prywatne sanktuaria. Zakładamy, że jeśli narzędzie znajduje się na oficjalnym rynku, takim jak JetBrains, przeszło ono poziom kontroli, który czyni je bezpiecznym. To założenie jest niebezpieczną błędną konfiguracją w naszym mentalnym modelu bezpieczeństwa. Wydajemy miliony dolarów na korporacyjne zapory ogniowe i systemy wykrywania punktów końcowych, a mimo to pojedynczy deweloper chcący zautomatyzować test jednostkowy może ominąć każdą warstwę obrony jednym kliknięciem.

Badacze bezpieczeństwa z Aikido Security zidentyfikowali niedawno skoordynowaną kampanię złośliwego oprogramowania, która wykorzystuje dokładnie ten martwy punkt. Kampania obejmuje 15 złośliwych wtyczek hostowanych w JetBrains Marketplace. Narzędzia te podszywają się pod asystentów kodowania opartych na AI, obiecując generowanie komunikatów zatwierdzeń (commit messages), przeprowadzanie przeglądów kodu i znajdowanie błędów. Chociaż wykonują te zadania zgodnie z opisem, funkcjonują również jako cichy kanał do kradzieży poświadczeń. Z perspektywy użytkownika końcowego wtyczka wygląda na narzędzie zwiększające produktywność. Za kulisami jest to silnik eksfiltracji dla Twoich najwrażliwszych kluczy dostawców AI.

Anatomia kampanii w JetBrains Marketplace

Kampania jest aktywna od końca 2025 roku i kontynuowała wprowadzanie nowych złośliwych aktualizacji do połowy 2026 roku. Atakujący wykorzystali ogromny wzrost popytu na integracje z DeepSeek i innymi dużymi modelami językowymi. Nazywając swoje wtyczki imionami popularnych narzędzi AI, z powodzeniem oszukali tysiące użytkowników. Dwie konkretne wtyczki, CodeGPT AI Assistant i DeepSeek AI Assist, zdołały zgromadzić po ponad 25 000 pobrań każda. To, czy liczby te są organiczne, czy zawyżone przez aktywność botów, jest drugorzędne wobec faktu, że pozostały one dostępne przez miesiące.

Lista zidentyfikowanych złośliwych wtyczek obejmuje:

• DeepSeek Junit Test (org.sm.yms.toolkit)
• DeepSeek Git Commit (com.json.simple.kit)
• DeepSeek FindBugs (org.bug.find.tools)
• DeepSeek AI Chat (org.translate.ai.simple)
• DeepSeek Dev AI (com.yy.test.ai.simple)
• DeepSeek AI Coding (com.dev.ai.toolkit)
• AI FindBugs (com.json.view.simple)
• AI Git Commitor (com.my.git.ai.kit)
• AI Coder Review (org.check.ai.ds)
• DeepSeek Coder AI (com.review.tool.code)
• AI Coder Assistant (org.code.assist.dev.tool)
• DeepSeek Code Review (com.coder.ai.dpt)
• CodeGPT AI Assistant (com.my.code.tools)
• DeepSeek AI Assist (ord.cp.code.ai.kit)
• Coding Simple Tool (com.dp.git.ai.tool)

Wtyczki te współdzielą niemal identyczny kod źródłowy. Aby z nich korzystać, należy podać klucz API dla usług takich jak OpenAI, SiliconFlow lub DeepSeek. Po wprowadzeniu klucza w panelu ustawień, wtyczka przesyła go do zdalnego serwera znajdującego się pod adresem 39.107.60[.]51. Eksfiltracja odbywa się za pośrednictwem standardowego żądania HTTP w formie czystego tekstu. Ten wybór protokołu jest szczególnie zuchwały, ponieważ brakuje mu nawet podstawowego szyfrowania, co sprawia, że kradzież jest widoczna dla każdego, kto monitoruje ruch sieciowy.

Dziwna ekonomia skradzionych kluczy API

W tych wtyczkach zaszyta jest osobliwa strategia monetyzacji. Atakujący umieścili w oprogramowaniu prośbę o darowiznę lub płatny poziom subskrypcji. Gdy użytkownik uiści niewielką opłatę, serwer odsyła do klienta inny, działający klucz API. Wtyczka następnie używa tego nowego klucza do wywołań modeli. Takie zachowanie jest sygnałem ostrzegawczym dla każdego analityka śledczego. Legalny dostawca oprogramowania nie rozdaje nieograniczonych, płatnych kluczy API do usług stron trzecich w zamian za niewielką darowiznę.

Ten cykl sugeruje, że operatorzy prowadzą krąg współdzielenia poświadczeń. Kradną klucze od jednej grupy ofiar i sprzedają dostęp do tych samych kluczy innej grupie. To zmienia ofiary w nieświadomych finansistów modelu biznesowego atakujących. Mówiąc proaktywnie, jest to forma LLMjacking. Prawowici właściciele kluczy opłacają miesięczne rachunki za użytkowanie, podczas gdy atakujący zbierają czysty zysk z opłat za darowizny. Ten schemat podkreśla, dlaczego deweloperzy są tak cennymi celami. Przejęte IDE zawiera więcej niż tylko kod źródłowy. Zawiera klucze do infrastruktury chmurowej i rurociągów finansowych całej firmy.

PromptSnatcher i wykorzystywanie zaufania do przeglądarki

Podczas gdy incydent z JetBrains celuje w zaplecze procesu programistycznego, druga kampania o nazwie PromptSnatcher bierze na cel interfejs użytkownika. Badacz bezpieczeństwa Jean-Marie R. odkrył dwa rozszerzenia Google Chrome, które przechwytują prywatne rozmowy z chatbotami AI. Rozszerzenia te, Smart Adblocker i Adblock for Browser, mają łączną bazę użytkowników przekraczającą 100 000 osób. Przez lata funkcjonowały jako legalne blokery reklam, zanim deweloperzy wprowadzili funkcje kradzieży danych poprzez aktualizacje oprogramowania.

Rozszerzenia te używają silnika przechwytywania do rejestrowania każdej interakcji z ChatGPT, Claude, Gemini, Copilot i Meta AI. Gromadzą pełną historię rozmów, konkretny użyty model oraz poziom subskrypcji konta. Dane te trafiają na serwer kontrolowany przez atakującego bez Twojej wiedzy. Operatorzy ukrywają tę aktywność pod pozorem zgody na „Ulepszoną ochronę” (Enhanced Protection). Na poziomie architektonicznym rozszerzenia te są klasycznym cyfrowym koniem trojańskim. Świadczą użyteczną usługę — blokowanie reklam — aby uzasadnić swoją obecność w przeglądarce, podczas gdy zbierają Twoją własność intelektualną.

Ryzyko kradzieży promptów w przedsiębiorstwie

Ten trend kradzieży interakcji z AI znany jest jako „prompt poaching”. Jest to systemowe zagrożenie dla poufności korporacyjnej. Gdy deweloper prosi AI o debugowanie zastrzeżonego algorytmu lub zespół prawny prosi o podsumowanie umowy o zachowaniu poufności, dane te są wysoce wrażliwe. Jeśli złośliwe rozszerzenie przechwyci ten prompt, firma traci kontrolę nad swoją własnością intelektualną.

W przeciwieństwie do tradycyjnego złośliwego oprogramowania, które dąży do szyfrowania plików lub kradzieży loginów bankowych, prompt poaching jest bardziej szczegółową formą szpiegostwa korporacyjnego. Skradzione dane są często nieustrukturyzowane, ale niezwykle cenne. Dostarczają wglądu w wewnętrzne projekty firmy, jej luki techniczne i kierunek strategiczny. Rozszerzenia te są wszechobecne, ponieważ opierają się na pragnieniu użytkownika do czystszego przeglądania stron. Wielu użytkowników przyznaje tym narzędziom szerokie uprawnienia do odczytu i zmiany danych na wszystkich stronach internetowych, co jest dokładnie tym, czego silnik przechwytywania potrzebuje do działania.

Praktyczne kroki w celu oczyszczenia przepływu pracy programistycznej

Jeśli Twoje IDE lub przeglądarka to klub dla VIP-ów, Twoje wtyczki są ochroniarzami. Nigdy nie powinieneś wpuszczać ochroniarza bez dokładnego sprawdzenia jego przeszłości. Aby obronić się przed tego typu atakami na łańcuch dostaw, musisz przejść w stronę modelu zero-trust dla swojego środowiska programistycznego. Aktualizowanie systemu operacyjnego to podstawowy wymóg, ale nie chroni Cię przed złośliwą wtyczką, którą dobrowolnie zainstalowałeś.

Zacznij od audytu każdej wtyczki w swoim IDE. Jeśli masz którąkolwiek z 15 wtyczek związanych z DeepSeek wymienionych powyżej, usuń ją natychmiast. Po usunięciu musisz założyć, że Twoje klucze API zostały przejęte. Zmień (zrotuj) każdy klucz, który kiedykolwiek wprowadziłeś do tych narzędzi. Monitorowanie wyciągów rozliczeniowych pod kątem nietypowych skoków w użyciu AI to kolejny środek reaktywny, ale lepiej zapobiegać wyciekowi u źródła.

W przypadku bezpieczeństwa przeglądarki postępuj zgodnie z zasadą najmniejszych uprawnień. Nie używaj blokerów reklam, które wymagają dostępu do „wszystkich stron internetowych”, jeśli używasz tej przeglądarki również do wrażliwej pracy. Używaj dedykowanej, utwardzonej przeglądarki do interakcji z chatbotami AI i konsolami chmurowymi. Taka separacja obowiązków zapobiega sytuacji, w której złośliwe rozszerzenie w Twojej głównej przeglądarce widzi to, co robisz w bezpiecznych sesjach. Na koniec, tam gdzie to możliwe, używaj narzędzi do zarządzania sekretami do obsługi kluczy API zamiast wklejać je do paneli ustawień wtyczek. Traktuj każde narzędzie innej firmy jako potencjalną lukę, dopóki nie zweryfikujesz jego zachowania poprzez monitorowanie sieci lub przegląd kodu.

Kluczowe wnioski dla liderów bezpieczeństwa

• Audytuj rynki IDE: Nie zakładaj, że dostępność w JetBrains lub Chrome Web Store jest równoznaczna z bezpieczeństwem.
• Rotuj klucze po usunięciu wtyczki: Usunięcie złośliwego oprogramowania nie unieważnia skradzionych poświadczeń.
• Wdróż filtrowanie ruchu wychodzącego: Blokowanie żądań HTTP w formie czystego tekstu do nieznanych adresów IP może powstrzymać wiele podstawowych prób eksfiltracji.
• Wymuś izolację przeglądarki: Używaj oddzielnych profili lub przeglądarek dla wrażliwych interakcji z AI, aby ograniczyć zasięg złośliwych rozszerzeń.
• Monitoruj użycie API: Ustaw ścisłe limity wydatków na kontach dostawców AI, aby złagodzić finansowe skutki LLMjacking.

Źródła: Aikido Security Research, Chrome Web Store Metadata, NIST Cybersecurity Framework (Supply Chain Risk Management), MITRE ATT&CK (T1553.004: Install Root Certificate/Subvert Trust Policy).

Zastrzeżenie: Ten artykuł służy wyłącznie celom informacyjnym i edukacyjnym i nie zastępuje profesjonalnego audytu cyberbezpieczeństwa ani usługi reagowania na incydenty.