Schädliche JetBrains-Plugins stehlen KI-API-Schlüssel von Entwicklern

Zusammenfassung

Im JetBrains Marketplace sind nach Angaben von Aikido Security mindestens 15 schädliche Plugins entdeckt worden, die es auf API-Schlüssel von KI-Diensten abgesehen haben. Die Erweiterungen treten demnach als KI-Coding-Assistenten, Code-Review-Werkzeuge und Git-Hilfsprogramme auf und nutzen dabei bekannte Dienste wie OpenAI, DeepSeek und SiliconFlow als Köder. Laut Aikido wurden die Plugins über sieben Anbieter-Konten veröffentlicht und gemeinsam fast 70.000-mal installiert. Die Forscher sprechen von einer koordinierten Malware-Kampagne: Die Erweiterungen arbeiten zwar wie beschrieben, übertragen aber im Hintergrund die von Nutzern hinterlegten API-Schlüssel an die Angreifer. BleepingComputer hat nach eigenen Angaben die jüngste Version des Plugins DeepSeek AI Assist unabhängig untersucht und den von Aikido beschriebenen Code zum Diebstahl von Zugangsdaten bestätigt. Zum Zeitpunkt der Veröffentlichung war das Plugin weiterhin über den JetBrains Marketplace verfügbar.

Aikido Security zufolge begann die Kampagne mit ersten Veröffentlichungen im Oktober 2025. Neue Plugins seien noch bis zum 10. Juni 2026 erschienen. Alle 15 entdeckten Erweiterungen enthielten laut dem Bericht ein vergleichbares Code-Muster und seien als unterschiedliche Marketplace-Plugins eingereicht worden.

Die schädliche Funktion wird laut Aikido ausgelöst, sobald ein Nutzer nach dem Eintragen eines API-Schlüssels in die Plugin-Einstellungen auf „Übernehmen“ klickt. Dann werde der Schlüssel per HTTP an einen fest hinterlegten Server unter 39.107.60[.]51 übertragen. Die Plugins erfüllen nach Darstellung der Forscher grundsätzlich ihre beworbene Funktion, senden die eingegebenen Zugangsdaten aber heimlich an die Betreiber zurück.

Neben dem Diebstahl der Schlüssel fanden die Forscher noch eine weitere Funktion: Der entfernte Server kann zahlenden Nutzern API-Schlüssel zur Verfügung stellen. Aikido hält es für möglich, dass die Betreiber Zugangsdaten von kostenlosen Nutzern einsammeln und diese anschließend an zahlende Nutzer weitergeben. Der Anbieter begründet diese Einschätzung damit, dass nach einer kleinen Zahlung über die in das Plugin eingebaute Spenden-Schranke ein API-Schlüssel vom Server an den Client zurückgesendet werde. Das Plugin nutze danach für Modellaufrufe diesen Schlüssel statt des eigenen Schlüssels des Nutzers. Aikido bezeichnet dieses Verhalten als auffällig, weil ein legitimer Betreiber Nutzern nicht einfach einen funktionierenden und uneingeschränkten Schlüssel für einen kostenpflichtigen KI-Anbieter aushändigen würde.

BleepingComputer hat nach eigenen Angaben die aktuelle Version von DeepSeek AI Assist mit der Plugin-ID ord.cp.code.ai.kit heruntergeladen und analysiert. Dabei habe sich der in Aikidos Bericht beschriebene Code zum Diebstahl von Zugangsdaten bestätigt. Zum Zeitpunkt des Artikels sei das Plugin weiterhin im JetBrains Marketplace zum Download angeboten worden.

Unter den von Aikido entdeckten Kampagnen-Plugins waren DeepSeek AI Assist mit 27.727 Downloads und CodeGPT AI Assistant mit 25.571 Downloads die am häufigsten heruntergeladenen Erweiterungen. Zugleich warnen die Forscher, dass sich Download-Zahlen manipulieren lassen und deshalb nicht zwingend als Zahl eindeutiger Installationen zu verstehen sind.

Aikido weist darauf hin, dass schädliche Pakete zwar regelmäßig in Repositorien wie npm und PyPI auftauchen, Berichte über Plugins mit Diebstahl von Zugangsdaten im JetBrains Marketplace aber deutlich seltener seien. BleepingComputer hat JetBrains zu den schädlichen Plugins kontaktiert, nach eigenen Angaben jedoch bis zur Veröffentlichung keine Antwort erhalten.

Schädliche JetBrains-Plugins stehlen KI-API-Schlüssel von Entwicklern

Ähnliche Artikel

Neueste Artikel