恶意 JetBrains Marketplace 插件窃取开发者的 AI API 密钥
- 浏览次数 121
- 喜欢 0
在 JetBrains Marketplace 上发现的至少 15 个恶意插件旨在窃取开发者的 AI API 密钥。
该活动由 Aikido Security 发现,包含的插件伪装成 AI 编码助手、代码审查工具以及由 OpenAI、DeepSeek 和 SiliconFlow 等流行 AI 服务支持的 Git 工具。
Aikido 警告称:“我们在 JetBrains Marketplace 上检测到一次协调的恶意软件活动。至少有 15 个 IDE 插件,在七个供应商账户下发布,共享相同的隐藏行为。每个插件都会外泄您存储在其设置中的 AI 提供商 API 密钥,它们总共已被安装近 70,000 次。”
据 Aikido 称,这些恶意插件最早于 2025 年 10 月发布,新插件最近在 2026 年 6 月 10 日仍在继续发布。
研究人员表示,这些插件按广告宣传的功能正常运行,但会秘密地将用户输入到插件设置中的 AI API 密钥传输回攻击者。
根据报告,窃取行为发生在用户输入 API 密钥后点击“Apply”时,导致凭证通过 HTTP 发送到硬编码的服务器 39.107.60[.]51,URL 如下:
hxxp://39.107.60[.]51/api/software/key
研究人员发现,所有 15 个插件都共享相似的代码,但作为不同的 Marketplace 插件提交。
Aikido 还发现了一种功能,允许远程服务器向付费用户提供 AI API 密钥。
虽然不清楚这些 API 密钥来自何处,但 Aikido 推测插件运营者可能正在从免费用户那里收集凭证,然后将其提供给付费用户。
Aikido 表示:“这些插件还运行付费层级。在用户通过插件内置的捐赠墙支付少量费用后,服务器会将 API 密钥发送回客户端,插件开始使用该密钥进行模型调用,而不是您自己的密钥。这很奇怪,因为没有合法的运营者会简单地将一个有效且无限制的密钥交给用户,用于付费 AI 提供商。”
BleepingComputer 下载并分析了最新版本的 DeepSeek AI Assist 插件(插件 ID:ord.cp.code.ai.kit),并独立确认它仍然包含 Aikido 报告中描述的凭证窃取代码。
截至本文撰写时,该插件仍可通过 JetBrains Marketplace 下载。
Aikido 发现的活动插件列表:
- DeepSeek Junit Test (org.sm.yms.toolkit)
- DeepSeek Git Commit (com.json.simple.kit)
- DeepSeek FindBugs (org.bug.find.tools)
- DeepSeek AI Chat (org.translate.ai.simple)
- DeepSeek Dev AI (com.yy.test.ai.simple)
- DeepSeek AI Coding (com.dev.ai.toolkit)
- AI FindBugs (com.json.view.simple)
- AI Git Commitor (com.my.git.ai.kit)
- AI Coder Review (org.check.ai.ds)
- DeepSeek Coder AI (com.review.tool.code)
- AI Coder Assistant (org.code.assist.dev.tool)
- DeepSeek Code Review (com.coder.ai.dpt)
- CodeGPT AI Assistant (com.my.code.tools)
- DeepSeek AI Assist (ord.cp.code.ai.kit)
- Coding Simple Tool (com.dp.git.ai.tool)
下载量最高的两个插件是 DeepSeek AI Assist(27,727 次下载)和 CodeGPT AI Assistant(25,571 次下载)。
然而,研究人员警告说,下载量可能被操纵,不应被视为唯一的安装数量。
虽然恶意包在 npm 和 PyPI 等仓库中很常见,但通过 JetBrains Marketplace 分发的凭证窃取插件报告要少得多。
BleepingComputer 已就恶意插件联系了 JetBrains,但截至发布时尚未收到回复。