Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ekosystem narzędzi deweloperskich i przeglądarek internetowych staje się coraz częstszym celem ataków ukierunkowanych na dane związane ze sztuczną inteligencją. Najnowsza kampania pokazuje, że cyberprzestępcy nie koncentrują się już wyłącznie na hasłach, tokenach chmurowych czy danych dostępowych do infrastruktury, lecz również na kluczach API do usług AI oraz treści rozmów prowadzonych z chatbotami.
W opisanym przypadku złośliwe wtyczki publikowane w marketplace JetBrains podszywały się pod asystentów programowania opartych na modelach językowych. Równolegle ujawniono rozszerzenia Chrome, które pod pozorem legalnych funkcji przechwytywały konwersacje użytkowników z platformami AI. To kolejny sygnał, że bezpieczeństwo środowisk pracy opartych o AI wymaga dziś takiej samej uwagi jak klasyczna ochrona stacji roboczych i łańcucha dostaw oprogramowania.
W skrócie
- Badacze wykryli co najmniej 15 złośliwych wtyczek dla środowisk JetBrains.
- Pluginy udawały narzędzia AI do generowania testów, analizy kodu, tworzenia commitów i wsparcia programistów.
- Po wpisaniu klucza API użytkownika dane były przesyłane do infrastruktury kontrolowanej przez atakującego.
- Kampania miała trwać od końca października 2025 roku, a nowe elementy pojawiały się jeszcze w czerwcu 2026 roku.
- Dodatkowo wykryto rozszerzenia Chrome, które przechwytywały rozmowy z chatbotami AI i zbierały metadane dotyczące używanych usług.
Kontekst / historia
Ataki na łańcuch dostaw nie są nowym zjawiskiem, ale obecnie wyraźnie rozszerzają się na narzędzia wspierające rozwój oprogramowania oraz produktywność opartą na AI. Wtyczki do IDE, rozszerzenia przeglądarek i komponenty open source działają często z szerokimi uprawnieniami, mają dostęp do kodu źródłowego, konfiguracji projektów, sekretów lokalnych i danych biznesowych.
W tej kampanii operatorzy wykorzystali zaufanie do ekosystemu JetBrains oraz popularność narzędzi typu AI coding assistant. Istotne jest to, że wtyczki oferowały realną funkcjonalność i działały zgodnie z opisem, co utrudniało szybkie wykrycie nadużycia. Zastosowano model działania, w którym produkt wygląda wiarygodnie, spełnia część obietnic, a jednocześnie po cichu kradnie dane o wysokiej wartości.
Podobny wzorzec pojawił się w przypadku rozszerzeń Chrome reklamowanych jako blokery reklam. Legalnie wyglądająca funkcja była jedynie warstwą przykrywającą dla mechanizmu zbierania treści rozmów z systemami AI. Tego typu podejście wydłuża czas działania złośliwego komponentu i zmniejsza prawdopodobieństwo, że użytkownik szybko zauważy incydent.
Analiza techniczna
Złośliwe wtyczki JetBrains były przedstawiane jako asystenci AI współpracujący z zewnętrznymi modelami językowymi. Ich deklarowane zastosowania obejmowały generowanie testów jednostkowych, przegląd kodu, tworzenie wiadomości commit, wykrywanie błędów oraz czat AI wewnątrz środowiska IDE.
Kluczowy mechanizm polegał na tym, że użytkownik był proszony o podanie własnego klucza API do usługi AI. Po zapisaniu sekretu wtyczka nie tylko używała go do wykonywania żądań do modelu, ale również przesyłała go do zdalnej infrastruktury operatora. Dodatkowo przesyłanie miało odbywać się przez żądania HTTP w postaci jawnego tekstu, co zwiększało ryzyko dalszego przechwycenia danych.
Badacze wskazali, że wszystkie wykryte pluginy miały bardzo zbliżoną bazę kodu, co sugeruje wspólnego operatora albo jeden zestaw źródeł wykorzystywany do seryjnego tworzenia kolejnych wariantów. To typowy model dla kampanii nastawionych na skalowanie dystrybucji i utrudnianie blokowania pojedynczych artefaktów.
Część pluginów miała również płatny model dostępu. Po wniesieniu niewielkiej opłaty użytkownik miał otrzymać z serwera gotowy klucz API, z którego korzystała wtyczka. Taki schemat jest bardzo podejrzany operacyjnie, ponieważ może oznaczać wtórne wykorzystywanie wcześniej wykradzionych poświadczeń oraz próbę monetyzacji dostępu do cudzych zasobów.
W przypadku rozszerzeń Chrome mechanizm był inny, ale cel pozostawał podobny: pozyskanie wartościowych danych z interakcji użytkownika z AI. Rozszerzenia przechwytywały pełne konwersacje z chatbotami, a także informacje o używanym modelu i poziomie subskrypcji. Technicznie oznacza to ingerencję w zawartość renderowaną w przeglądarce, monitorowanie aktywności na wybranych serwisach oraz przesyłanie zebranych danych do infrastruktury zewnętrznej.
Tego rodzaju zagrożenie określa się często jako prompt poaching, czyli ciche przejmowanie promptów, odpowiedzi modelu oraz kontekstu konwersacji. W środowiskach firmowych może to prowadzić do ujawnienia kodu źródłowego, informacji o klientach, dokumentacji wewnętrznej, danych osobowych i tajemnic przedsiębiorstwa.
Konsekwencje / ryzyko
Ryzyko związane z tą kampanią jest wielowarstwowe. Najbardziej oczywistym skutkiem jest kradzież kluczy API do usług AI, co może prowadzić do nieautoryzowanego wykorzystania limitów, wzrostu kosztów, utraty kontroli nad dostępem oraz użycia kluczy w kolejnych działaniach przestępczych.
W środowisku deweloperskim skala zagrożenia jest jeszcze większa, ponieważ IDE i ich rozszerzenia mają często dostęp do repozytoriów kodu, tokenów Git, poświadczeń chmurowych, konfiguracji buildów i artefaktów CI/CD. W praktyce wyciek klucza API może być jedynie pierwszym etapem szerszego rozpoznania lub dalszej kompromitacji środowiska pracy.
Przechwytywanie rozmów z chatbotami AI zwiększa z kolei ryzyko ujawnienia danych biznesowych. Użytkownicy często wklejają do narzędzi AI fragmenty kodu, logi, opisy incydentów, dane klientów, konfiguracje i wewnętrzną dokumentację. Jeśli takie treści są zbierane przez złośliwe rozszerzenie, organizacja może utracić poufność informacji bez widocznych śladów po stronie systemów centralnych.
Dodatkowym problemem jest trudność wykrycia. Komponenty realizujące deklarowaną funkcję nie zachowują się jak klasyczne malware, dlatego mogą pozostawać aktywne przez dłuższy czas i generować ukryte koszty finansowe oraz ryzyko operacyjne.
Rekomendacje
Organizacje powinny traktować wtyczki IDE i rozszerzenia przeglądarek jako pełnoprawne elementy łańcucha dostaw oprogramowania. Oznacza to potrzebę wdrożenia zarówno kontroli technicznych, jak i procesowych.
- Ograniczyć możliwość samodzielnej instalacji niezweryfikowanych pluginów i rozszerzeń.
- Stosować listy dopuszczonych komponentów oraz formalny proces akceptacji narzędzi.
- Nie wprowadzać ręcznie sekretów do aplikacji, które nie przeszły oceny bezpieczeństwa.
- Zarządzać kluczami API przez systemy secret management oraz regularnie je rotować.
- Monitorować ruch wychodzący z narzędzi deweloperskich i przeglądarek pod kątem nietypowych połączeń.
- Wdrożyć nadzór nad wykorzystaniem usług AI, w tym nad zjawiskiem shadow AI.
- Regularnie przeglądać listę zainstalowanych pluginów, rozszerzeń, aktywnych kluczy API i historii kosztów usług AI.
W przypadku wykrycia podejrzanego komponentu należy niezwłocznie go odinstalować, unieważnić potencjalnie ujawnione klucze API, przeprowadzić rotację sekretów, przeanalizować historię wykorzystania poświadczeń oraz ocenić, czy do narzędzi AI nie trafiły dane poufne wymagające dalszej obsługi incydentu.
Podsumowanie
Opisana kampania potwierdza, że poświadczenia i dane związane z ekosystemem AI stały się atrakcyjnym celem dla cyberprzestępców. Złośliwe wtyczki JetBrains pokazują, jak łatwo połączyć użyteczną funkcjonalność z kradzieżą sekretów, natomiast rozszerzenia Chrome uwidaczniają rosnące ryzyko przechwytywania promptów i rozmów z chatbotami.
Dla organizacji to wyraźny sygnał, że bezpieczeństwo AI nie kończy się na wyborze modelu lub dostawcy chmurowego. Obejmuje także pluginy, rozszerzenia, lokalne środowiska pracy i wszystkie punkty, w których użytkownik przekazuje sekret, kod lub kontekst biznesowy do zewnętrznego narzędzia. Kontrola łańcucha dostaw, zarządzanie sekretami i nadzór nad użyciem AI powinny stać się standardem operacyjnym.