AIO APEX
Security

15 bösartige JetBrains-Plugins haben 8 Monate lang die KI-API-Schlüssel von Entwicklern gestohlen

BleepingComputer
Teilen:
15 bösartige JetBrains-Plugins haben 8 Monate lang die KI-API-Schlüssel von Entwicklern gestohlen

Sicherheitsforscher bei Aikido Security haben eine koordinierte Lieferkettenkampagne auf dem JetBrains Marketplace aufgedeckt, bei der mindestens 15 bösartige Plugins – getarnt als KI-Codierungsassistenten und Entwicklerwerkzeuge – API-Schlüssel aus den IDEs von Entwicklern stahlen. Laut einem am Dienstag veröffentlichten und von BleepingComputer unabhängig bestätigten Bericht wurden die Plugins fast 70.000 Mal über sieben Verkäuferkonten installiert, bevor die Kampagne offengelegt wurde.

Der Angriff ist bemerkenswert aufgrund seiner Dauer, seiner Spezifität und einer Monetarisierungswendung, die stark darauf hindeutet, dass die gestohlenen Schlüssel weiterverkauft wurden. Er unterstreicht auch ein wachsendes Muster bei Angriffen auf Entwickler: der Plugin-Marktplatz als Einstiegspunkt zu hochwertigen Anmeldeinformationen.

Wie die Kampagne funktionierte

Jedes der 15 Plugins schien funktionsfähig – sie boten echte Funktionen wie KI-gestützten Chat, Code-Review, Unit-Test-Generierung und das Verfassen von Git-Commit-Nachrichten, unterstützt durch beliebte Dienste wie OpenAI, DeepSeek und SiliconFlow. Wenn ein Benutzer seinen API-Schlüssel in den Plugineinstellungen eingab und auf Apply klickte, wurde diese Anmeldeinformation stillschweigend im Klartext über eine unverschlüsselte HTTP-Verbindung an einen fest codierten Server unter 39.107.60[.]51 übertragen.

Der Exfiltrations-Endpunkt für Anmeldeinformationen war bei allen 15 Plugins konsistent: hxxp://39.107.60[.]51/api/software/key. Forscher stellten fest, dass die Verwendung von einfachem HTTP anstelle von HTTPS entweder nachlässig oder vorsätzlich war – in beiden Fällen bedeutet dies, dass die Schlüssel auch für jeden Netzwerkbeobachter zwischen dem Entwicklergerät und dem Angreiferserver sichtbar waren.

Die Kampagne begann im Oktober 2025. Neue Plugin-Varianten erschienen noch bis zum 10. Juni 2026, was darauf hindeutet, dass die Betreiber während des Offenlegungszeitraums aktiv blieben. Zum Zeitpunkt der Veröffentlichung des Berichts von BleepingComputer waren zumindest einige der Plugins noch zum Download auf dem JetBrains Marketplace verfügbar.

Die kostenpflichtige Stufe, die gestohlene Schlüssel ausgab

Das ungewöhnlichste Element der Kampagne ist das, was Aikido-Forscher eine "Spendenmauer" (donation wall) nannten – eine in die Plugins eingebettete kostenpflichtige Upgrade-Stufe. Nach Zahlung einer kleinen Gebühr erhielten Benutzer einen funktionierenden KI-API-Schlüssel vom Server, den das Plugin dann für Modellaufrufe anstelle des eigenen Schlüssels des Benutzers verwendete.

Aikido weist darauf hin, dass kein legitimer KI-Dienstanbieter Benutzern uneingeschränkte Schlüssel für einen kostenpflichtigen Drittanbieterdienst aushändigen würde. Die Implikation ist, dass die an zahlende Kunden ausgegebenen Schlüssel selbst von anderen Plugin-Benutzern gestohlen wurden – was eine geschlossene Schleife erzeugt, in der die Anmeldeinformationen der Opfer einen Schwarzmarkt-API-Schlüsseldienst finanzierten. Dieses Muster ist bereits in anderen Kampagnen zum Diebstahl von Anmeldeinformationen aufgetreten, die auf KI-Infrastruktur abzielen, aber es direkt in einen vertrauenswürdigen Plugin-Marktplatz eingebettet zu sehen, ist eine neue Eskalation.

Welche Dienste angegriffen wurden

Die 15 Plugins zielten gemeinsam auf API-Schlüssel für OpenAI, DeepSeek und SiliconFlow ab – drei der am häufigsten genutzten KI-Inferenz-APIs unter Entwicklern. OpenAI-API-Schlüssel tragen ein besonders hohes finanzielles Risiko: Ein kompromittierter Schlüssel kann zu Tausenden von Dollar an nicht autorisierten Modellnutzungsgebühren führen, bevor der Kontoinhaber dies bemerkt und die Anmeldeinformationen rotiert.

Die spezifischen von Aikido identifizierten Plugins umfassen: DeepSeek Junit Test, DeepSeek Git Commit, DeepSeek FindBugs, DeepSeek AI Chat, DeepSeek Dev AI, DeepSeek AI Coding, AI FindBugs, AI Git Commitor, AI Coder Review, DeepSeek Coder AI, AI Coder Assistant und mehrere andere, die unter derselben Verkäuferinfrastruktur veröffentlicht wurden.

Was Entwickler jetzt tun sollten

Jeder Entwickler, der in den letzten acht Monaten ein KI-Coding-Plugin aus dem JetBrains Marketplace installiert hat, sollte davon ausgehen, dass seine API-Schlüssel möglicherweise kompromittiert sind, und sie sofort rotieren – dies gilt insbesondere für OpenAI-, DeepSeek- und SiliconFlow-Anmeldeinformationen. Die Schlüsselrotation ist in den Kontodashboards aller drei Plattformen sofort möglich und dauert weniger als eine Minute.

Überprüfen Sie vor der Installation eines Plugins das Veröffentlichungsverlauf des Verkäuferkontos auf Muster: Ein Verkäufer, der mehrere "KI-Assistent"-Plugins unter leicht unterschiedlichen Namen mit aktuellen Veröffentlichungsdaten veröffentlicht, ist eine rote Flagge. Die vollständige Liste der betroffenen Plugin-IDs von Aikido ist in ihrem veröffentlichten Bericht verfügbar.

Die übergeordnete Lektion ist bekannt, aber es lohnt sich, sie zu wiederholen: Plugin-Marktplätze sind keine kuratierten App-Stores. Schädliche Pakete auf npm, PyPI, dem VS Code Marketplace und jetzt dem JetBrains Marketplace haben im Wesentlichen dieselbe Vorgehensweise befolgt: einen vertrauenswürdigen Kanal finden, etwas Funktionsfähiges veröffentlichen, das bösartiges Verhalten verbirgt, und skalieren, bis sie erwischt werden. Der Markt für KI-API-Schlüssel scheint lukrativ genug zu sein, um eine 8-monatige Kampagne über 15 Plugins hinweg vor der Offenlegung zu unterstützen.

api-keyssupply-chain-attackmalwaredeveloper-securityjetbrainsdeepseek

Originally reported by BleepingComputer. Read the original article for additional details.

View original source
Teilen: