昨天早上,我花了一个小时审计本地IDE上的扩展列表。这是一项大多数开发人员都会跳过的乏味任务,因为我们将开发环境视为私人圣地。我们假设,如果一个工具存在于像JetBrains这样的官方市场上,它就已经通过了某种程度的审查,是安全的。这种假设是我们安全心理模型中的一个危险错误配置。我们花费数百万美元购买企业防火墙和终端检测系统,然而,一个想要自动化单元测试的开发人员只需点击一下,就能绕过每一层防御。
Aikido Security的安全研究人员最近发现了一场针对这一盲点的协同恶意软件活动。该活动涉及托管在JetBrains市场上的15个恶意插件。这些工具伪装成AI驱动的代码助手,承诺生成提交消息、进行代码审查和查找漏洞。虽然它们确实按广告宣传的那样执行这些任务,但它们同时也充当了窃取凭据的隐形管道。从最终用户的角度来看,该插件看起来像是一个生产力提升工具。但在幕后,它是一个用于外泄你最敏感的AI提供商密钥的引擎。
JetBrains市场活动的解剖
该活动自2025年底开始活跃,并持续到2026年中期推送新的恶意更新。攻击者利用了对DeepSeek和其他大语言模型集成需求的激增。通过以流行的AI工具命名他们的插件,他们成功欺骗了数千名用户。其中两个特定的插件,CodeGPT AI Assistant和DeepSeek AI Assist,各自获得了超过25,000次下载。这些数字是自然增长还是由机器人活动膨胀的,相对于它们持续存在数月这一事实来说是次要的。
已识别的恶意插件列表包括:
- DeepSeek Junit Test (org.sm.yms.toolkit)
- DeepSeek Git Commit (com.json.simple.kit)
- DeepSeek FindBugs (org.bug.find.tools)
- DeepSeek AI Chat (org.translate.ai.simple)
- DeepSeek Dev AI (com.yy.test.ai.simple)
- DeepSeek AI Coding (com.dev.ai.toolkit)
- AI FindBugs (com.json.view.simple)
- AI Git Commitor (com.my.git.ai.kit)
- AI Coder Review (org.check.ai.ds)
- DeepSeek Coder AI (com.review.tool.code)
- AI Coder Assistant (org.code.assist.dev.tool)
- DeepSeek Code Review (com.coder.ai.dpt)
- CodeGPT AI Assistant (com.my.code.tools)
- DeepSeek AI Assist (ord.cp.code.ai.kit)
- Coding Simple Tool (com.dp.git.ai.tool)
这些插件共享几乎相同的代码库。要使用它们,你必须提供OpenAI、SiliconFlow或DeepSeek等服务的API密钥。一旦你在设置面板中输入密钥,插件就会将其传输到位于39.107.60[.]51的远程服务器。外泄是通过明文的标准HTTP请求进行的。这种协议选择特别大胆,因为它甚至缺乏基本的加密,使得任何监控网络流量的人都能看到这种窃取行为。
被盗API密钥的奇异经济学
这些插件中嵌入了一种独特的变现策略。攻击者在软件中加入了一个捐赠墙或付费层级。当用户支付少量费用时,服务器会将一个不同的、功能正常的API密钥发回给客户端。然后,插件使用这个新密钥进行模型调用。这种行为对任何取证分析师来说都是一个红旗。合法的软件提供商不会为了换取少量的捐赠而分发第三方的无限制付费API密钥。
这种循环表明运营者正在运行一个凭据共享环。他们从一组受害者那里窃取密钥,并将这些密钥的访问权出售给另一组人。这使受害者在不知不觉中成为了攻击者商业模式的资助者。主动地讲,这是一种LLMjacking形式。真正的密钥所有者支付每月的账单,而攻击者则从捐赠费中获取纯利润。这一方案凸显了为什么开发人员是如此高价值的目标。一个受损的IDE包含的不只是源代码,它还包含通往云基础设施和整个公司财务管道的钥匙。
PromptSnatcher与浏览器信任的利用
虽然JetBrains事件针对的是开发过程的后端,但第二个名为PromptSnatcher的活动针对的是用户界面。安全研究员Jean-Marie R.发现了两个捕获与AI聊天机器人私密对话的Google Chrome扩展程序。这些扩展程序——Smart Adblocker和Adblock for Browser——拥有超过10万人的合并用户群。在开发人员通过软件更新引入数据窃取功能之前,它们作为合法的广告拦截器运行了多年。
这些扩展使用拦截引擎记录你与ChatGPT、Claude、Gemini、Copilot和Meta AI的每一次互动。它们收集完整的对话历史、使用的特定模型以及你的账户订阅层级。这些数据在你不经意间被发送到攻击者控制的服务器。运营者在“增强保护”同意字符串的掩护下隐藏了这一活动。从架构层面来看,这些扩展是经典的数字特洛伊木马。它们提供有用的服务(拦截广告)来证明它们在浏览器中的存在,同时窃取你的知识产权。
企业中的Prompt盗取风险
这种窃取AI互动的趋势被称为Prompt盗取(Prompt Poaching)。它是对公司机密性的系统性威胁。当开发人员要求AI调试专有算法或法律团队要求总结一份保密协议时,这些数据是高度敏感的。如果恶意扩展捕获了该提示,公司就会失去对其知识产权的控制。
与寻求加密文件或窃取银行登录信息的传统恶意软件不同,Prompt盗取是一种更细粒度的企业间谍活动。被盗数据通常是非结构化的,但极具价值。它提供了对公司内部项目、技术漏洞及其战略方向的洞察。这些扩展之所以普遍存在,是因为它们依赖于用户对更清洁浏览体验的渴望。许多用户授予这些工具读取和更改所有网站数据的广泛权限,而这正是拦截引擎运行所需的。
净化开发工作流的实际步骤
如果你的IDE或浏览器是一个VIP俱乐部,那么你的插件就是保镖。你绝不应该在没有彻底背景调查的情况下让保镖进来。为了防御这些类型的供应链攻击,你必须为你的开发环境转向零信任模型。修补操作系统是基本要求,但它无法保护你免受自愿安装的恶意插件的侵害。
首先审计IDE中的每个插件。如果你有上述列出的15个DeepSeek相关插件中的任何一个,请立即删除它们。删除后,你必须假设你的API密钥已泄露。更换你曾输入到这些工具中的每一个密钥。监控账单报表中AI使用量的异常激增是另一种事后补救措施,但最好从源头上防止泄漏。
对于浏览器安全,遵循最小权限原则。如果你也使用该浏览器进行敏感工作,请不要使用需要访问“所有网站”的广告拦截器。使用专门的、经过加固的浏览器与AI聊天机器人和云控制台进行交互。这种职责分离可以防止主浏览器中的恶意扩展看到你在安全会话中所做的事情。最后,尽可能使用秘密管理工具来处理API密钥,而不是将其粘贴到插件设置面板中。在通过网络监控或代码审查验证其行为之前,将每个第三方工具都视为潜在的漏洞。
安全负责人的关键要点
- 审计IDE市场:不要假设在JetBrains或Chrome网上应用店上架就等于安全。
- 删除插件后更换密钥:删除恶意软件并不会使被盗的凭据失效。
- 实施网络出口过滤:拦截发往未知IP地址的明文HTTP请求可以阻止许多基础的外泄尝试。
- 强制执行浏览器隔离:为敏感的AI交互使用单独的配置文件或浏览器,以限制恶意扩展的影响范围。
- 监控API使用情况:在AI提供商账户上设置严格的支出限制,以减轻LLMjacking带来的财务影响。
来源:Aikido Security Research, Chrome Web Store Metadata, NIST Cybersecurity Framework (Supply Chain Risk Management), MITRE ATT&CK (T1553.004: Install Root Certificate/Subvert Trust Policy).
免责声明:本文仅供信息和教育目的,不能替代专业的网络安全审计或事件响应服务。
