Как 15 поддельных ИИ-плагинов превратили JetBrains Marketplace в «шведский стол» из учетных данных

Вчера утром я потратил час на аудит списка расширений в своей локальной IDE. Это утомительная задача, которую большинство разработчиков пропускают, потому что мы относимся к нашим средам разработки как к частному святилищу. Мы предполагаем, что если инструмент существует на официальном маркетплейсе, таком как JetBrains, он прошел проверку, гарантирующую его безопасность. Это предположение является опасной ошибкой в нашей ментальной модели безопасности. Мы тратим миллионы долларов на корпоративные межсетевые экраны и системы обнаружения конечных точек, но при этом один разработчик, желающий автоматизировать модульный тест, может обойти все уровни защиты одним щелчком мыши.

Исследователи безопасности из Aikido Security недавно выявили скоординированную кампанию вредоносного ПО, которая эксплуатирует именно это слепое пятно. Кампания включает 15 вредоносных плагинов, размещенных на JetBrains Marketplace. Эти инструменты маскируются под помощников по написанию кода на базе ИИ, обещая генерировать сообщения о коммитах, проводить аудит кода и находить ошибки. Хотя они выполняют эти задачи, как и заявлено, они также функционируют как скрытый канал для кражи учетных данных. С точки зрения конечного пользователя плагин выглядит как инструмент для повышения продуктивности. За кулисами же это механизм эксфильтрации ваших самых конфиденциальных ключей провайдеров ИИ.

Анатомия кампании в JetBrains Marketplace

Кампания была активна с конца 2025 года и продолжала выпускать новые вредоносные обновления до середины 2026 года. Злоумышленники воспользовались резким ростом спроса на интеграции с DeepSeek и другими крупными языковыми моделями. Называя свои плагины в честь популярных ИИ-инструментов, они успешно обманули тысячи пользователей. Двум конкретным плагинам, CodeGPT AI Assistant и DeepSeek AI Assist, удалось набрать более 25 000 загрузок каждому. Являются ли эти цифры органическими или завышенными с помощью ботов, вторично по отношению к тому факту, что они оставались доступными в течение нескольких месяцев.

Список выявленных вредоносных плагинов включает:

• DeepSeek Junit Test (org.sm.yms.toolkit)
• DeepSeek Git Commit (com.json.simple.kit)
• DeepSeek FindBugs (org.bug.find.tools)
• DeepSeek AI Chat (org.translate.ai.simple)
• DeepSeek Dev AI (com.yy.test.ai.simple)
• DeepSeek AI Coding (com.dev.ai.toolkit)
• AI FindBugs (com.json.view.simple)
• AI Git Commitor (com.my.git.ai.kit)
• AI Coder Review (org.check.ai.ds)
• DeepSeek Coder AI (com.review.tool.code)
• AI Coder Assistant (org.code.assist.dev.tool)
• DeepSeek Code Review (com.coder.ai.dpt)
• CodeGPT AI Assistant (com.my.code.tools)
• DeepSeek AI Assist (ord.cp.code.ai.kit)
• Coding Simple Tool (com.dp.git.ai.tool)

Эти плагины имеют почти идентичную кодовую базу. Чтобы использовать их, вы должны предоставить API-ключ для таких сервисов, как OpenAI, SiliconFlow или DeepSeek. Как только вы вводите свой ключ в панель настроек, плагин передает его на удаленный сервер по адресу 39.107.60[.]51. Эксфильтрация происходит через стандартный HTTP-запрос в открытом виде. Этот выбор протокола особенно дерзок, поскольку в нем отсутствует даже базовое шифрование, что делает кражу видимой для любого, кто отслеживает сетевой трафик.

Странная экономика украденных API-ключей

В эти плагины встроена своеобразная стратегия монетизации. Злоумышленники включили в программное обеспечение «стену пожертвований» или платный уровень. Когда пользователь платит небольшую комиссию, сервер отправляет клиенту другой, рабочий API-ключ. Затем плагин использует этот новый ключ для вызовов моделей. Такое поведение является тревожным сигналом для любого криминалистического аналитика. Законный поставщик программного обеспечения не раздает неограниченные платные API-ключи для стороннего сервиса в обмен на небольшое пожертвование.

Этот цикл предполагает, что операторы управляют сетью по обмену учетными данными. Они крадут ключи у одной группы жертв и продают доступ к этим же ключам другой группе. Это превращает жертв в невольных спонсоров бизнес-модели злоумышленников. Говоря профессиональным языком, это форма LLMjacking. Подлинные владельцы ключей оплачивают ежемесячные счета за использование, в то время как злоумышленники получают чистую прибыль от пожертвований. Эта схема подчеркивает, почему разработчики являются столь ценными целями. Скомпрометированная IDE содержит больше, чем просто исходный код. Она содержит ключи к облачной инфраструктуре и финансовым каналам всей компании.

PromptSnatcher и эксплуатация доверия к браузеру

В то время как инцидент с JetBrains нацелен на бэкенд процесса разработки, вторая кампания под названием PromptSnatcher нацелена на пользовательский интерфейс. Исследователь безопасности Жан-Мари Р. обнаружил два расширения Google Chrome, которые перехватывают частные разговоры с ИИ-чат-ботами. Эти расширения, Smart Adblocker и Adblock for Browser, имеют общую базу пользователей более 100 000 человек. В течение многих лет они функционировали как легитимные блокировщики рекламы, прежде чем разработчики внедрили функции кражи данных через обновления программного обеспечения.

Расширения используют механизм перехвата для записи каждого вашего взаимодействия с ChatGPT, Claude, Gemini, Copilot и Meta AI. Они собирают полную историю разговоров, конкретную используемую модель и уровень подписки вашего аккаунта. Эти данные отправляются на контролируемый злоумышленниками сервер без вашего ведома. Операторы скрывают эту деятельность под видом согласия на «Улучшенную защиту» (Enhanced Protection). С архитектурной точки зрения эти расширения являются классическим цифровым троянским конем. Они предоставляют полезную услугу — блокировку рекламы — чтобы оправдать свое присутствие в вашем браузере, пока они собирают вашу интеллектуальную собственность.

Риски «браконьерства промптов» на предприятии

Эта тенденция кражи взаимодействий с ИИ известна как «браконьерство промптов» (prompt poaching). Это системная угроза корпоративной конфиденциальности. Когда разработчик просит ИИ отладить проприетарный алгоритм или юридический отдел запрашивает резюме соглашения о неразглашении, эти данные являются крайне конфиденциальными. Если вредоносное расширение перехватывает этот промпт, компания теряет контроль над своей интеллектуальной собственностью.

В отличие от традиционного вредоносного ПО, которое стремится зашифровать файлы или украсть логины от банковских аккаунтов, браконьерство промптов — это более тонкая форма корпоративного шпионажа. Украденные данные часто не структурированы, но чрезвычайно ценны. Они дают представление о внутренних проектах компании, ее технических уязвимостях и стратегическом направлении. Эти расширения повсеместны, потому что они полагаются на желание пользователя сделать работу в браузере более комфортной. Многие пользователи предоставляют этим инструментам широкие разрешения на чтение и изменение данных на всех веб-сайтах, что как раз и необходимо механизму перехвата для работы.

Практические шаги по очистке вашего рабочего процесса разработки

Если ваша IDE или браузер — это VIP-клуб, то ваши плагины — это вышибалы. Вы никогда не должны впускать вышибалу без тщательной проверки его биографии. Чтобы защититься от таких типов атак на цепочку поставок, вы должны перейти к модели нулевого доверия (zero-trust) для вашей среды разработки. Обновление ОС — это базовое требование, но оно не защитит вас от вредоносного плагина, который вы установили добровольно.

Начните с аудита каждого плагина в вашей IDE. Если у вас установлен какой-либо из 15 плагинов, связанных с DeepSeek, перечисленных выше, немедленно удалите их. После удаления вы должны исходить из того, что ваши API-ключи скомпрометированы. Смените (ротируйте) каждый ключ, который вы когда-либо вводили в эти инструменты. Мониторинг выписок по счетам на предмет необычных всплесков использования ИИ — еще одна реактивная мера, но лучше предотвратить утечку в источнике.

Для безопасности браузера следуйте принципу наименьших привилегий. Не используйте блокировщики рекламы, требующие доступа ко «всем веб-сайтам», если вы также используете этот браузер для конфиденциальной работы. Используйте выделенный, защищенный браузер для взаимодействия с ИИ-чат-ботами и облачными консолями. Такое разделение обязанностей предотвращает возможность вредоносного расширения в вашем основном браузере видеть то, что вы делаете в защищенных сессиях. Наконец, по возможности используйте инструменты управления секретами для работы с API-ключами вместо того, чтобы вставлять их в панели настроек плагинов. Относитесь к каждому стороннему инструменту как к потенциальной уязвимости, пока не проверите его поведение с помощью сетевого мониторинга или аудита кода.

Ключевые выводы для руководителей по безопасности

• Аудит маркетплейсов IDE: Не предполагайте, что доступность в JetBrains или Chrome Web Store означает безопасность.
• Ротация ключей после удаления плагинов: Удаление вредоносного ПО не аннулирует украденные учетные данные.
• Внедрение фильтрации исходящего сетевого трафика: Блокировка HTTP-запросов в открытом виде к неизвестным IP-адресам может остановить многие попытки базовой эксфильтрации.
• Принудительная изоляция браузера: Используйте отдельные профили или браузеры для конфиденциальных взаимодействий с ИИ, чтобы ограничить охват вредоносных расширений.
• Мониторинг использования API: Установите строгие лимиты расходов на аккаунтах провайдеров ИИ, чтобы смягчить финансовые последствия LLMjacking.

Источники: Aikido Security Research, Chrome Web Store Metadata, NIST Cybersecurity Framework (Supply Chain Risk Management), MITRE ATT&CK (T1553.004: Install Root Certificate/Subvert Trust Policy).

Отказ от ответственности: Данная статья предназначена исключительно для информационных и образовательных целей и не заменяет профессиональный аудит кибербезопасности или услуги по реагированию на инциденты.