Nach Angaben von Aikido Security läuft die Kampagne im JetBrains Marketplace seit Ende Oktober 2025; neue Plugins wurden noch bis zum 10. Juni 2026 veröffentlicht. Alle 15 Erweiterungen teilen sich laut dem Unternehmen eine ähnliche Codebasis. Nutzer sollen in den Einstellungen einen API-Schlüssel für einen KI-Dienst hinterlegen, damit die versprochenen Funktionen genutzt werden können.
Genau dieser Schlüssel wird den Forschern zufolge unauffällig an einen entfernten Server unter der Adresse „39.107.60[.]51“ gesendet – per HTTP-Anfrage im Klartext. Aikido-Sicherheitsforscher Ilyas Makari erklärte, jedes Plugin gebe sich als KI-Coding-Assistent auf Basis von DeepSeek und anderen großen Sprachmodellen aus. Die Erweiterungen funktionierten wie angegeben, „der API-Schlüssel des KI-Anbieters, den man eingibt, wird jedoch an einen vom Angreifer kontrollierten Server exfiltriert“.
Besonders auffällig ist laut Aikido Security ein integriertes Bezahlmodell. Nach einer kleinen Zahlung über eine im Plugin eingebaute Spendenseite liefere der Server einen API-Schlüssel an den Client zurück, woraufhin das Plugin für Modellaufrufe diesen Schlüssel statt des eigenen Schlüssels des Nutzers verwende. Das sei ungewöhnlich, weil ein legitimer Betreiber Nutzern nicht einfach einen funktionierenden und uneingeschränkten Schlüssel für einen kostenpflichtigen KI-Anbieter aushändigen würde.
Aikido Security hält es deshalb für möglich, dass die Betreiber die gestohlenen KI-API-Schlüssel im Rahmen eines illegalen Monetarisierungsmodells mit anderen Bedrohungsakteuren teilen. Makari fasste das so zusammen: „Der Betreiber kassiert auf der einen Seite Geld und auf der anderen kostenlose Zugangsdaten, während die echten Schlüsselinhaber die Rechnung bezahlen.“ Zwei der Plugins, CodeGPT AI Assistant und DeepSeek AI Assist, kommen auf jeweils mehr als 25.000 Downloads. Ob diese Zahlen echt sind oder künstlich aufgebläht wurden, ist laut Bericht unklar.
Aikido Security wertet die Funde als weiteres Indiz dafür, dass Angreifer verstärkt Entwicklerumgebungen über das Open-Source-Ökosystem ins Visier nehmen. Solche Umgebungen seien ein lukratives Ziel, weil sie Quellcode, Cloud-Zugangsdaten, Signaturschlüssel und API-Schlüssel für kostenpflichtige KI-Dienste enthalten können, die sich für sogenannte LLMjacking-Modelle weiterverkaufen lassen.
Parallel dazu hat Jean-Marie R. zwei Chrome-Erweiterungen untersucht, die im Chrome Web Store weiterhin verfügbar sind. Sie treten als Werbeblocker auf, enthalten laut dem Forscher aber eine eigens entwickelte Abfang-Engine, die nicht öffentliche Unterhaltungen, Modellnutzung und Metadaten zum Kontotyp von großen KI-Plattformen erfasst. Genannt werden OpenAI ChatGPT, Anthropic Claude, Google Gemini, Microsoft Copilot, Perplexity, DeepSeek, xAI Grok und Meta AI.
Jean-Marie R. hat die Datenerfassung unter dem Namen PromptSnatcher zusammengefasst. Nach seinen Angaben nutzen die Erweiterungen legitime öffentliche Filterlisten wie EasyList und IDCAC als funktionale Tarnung und bieten tatsächlich Werbeblocker-Funktionen an, während im Hintergrund ein nicht offengelegter Telemetriekanal aktiv ist. Da die beiden Erweiterungen bereits seit mehreren Jahren existieren, geht der Forscher davon aus, dass die KI-bezogenen Funktionen erst später per Software-Update hinzugefügt wurden.
Die beschriebenen Aktivitäten ordnet er einer Angriffstechnik namens Prompt Poaching zu. In den vergangenen Monaten sei beobachtet worden, dass Browser-Erweiterungen – sowohl legitime als auch schädliche – diese Methode übernehmen, um KI-Chats unauffällig mitzuschneiden. Unklar sei bislang, ob diese Praktiken gegen Googles Richtlinien für Browser-Erweiterungen verstoßen. Laut Jean-Marie R. übertragen die Erweiterungen vollständige KI-Gesprächsverläufe, Angaben zur Modellnutzung und die jeweilige Abonnementstufe von acht Plattformen an eine von den Betreibern kontrollierte Infrastruktur, ohne die Nutzer darüber über eine allgemeine Einwilligungsformulierung zu „Erweitertem Schutz“ hinaus zu informieren.