Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Ekosystem wtyczek do środowisk programistycznych stał się istotnym elementem nowoczesnego łańcucha dostaw oprogramowania. Rozszerzenia instalowane bezpośrednio w IDE mogą uzyskiwać dostęp do kodu, ustawień, tokenów i innych danych uwierzytelniających wykorzystywanych przez programistów. W opisanym incydencie wykryto kampanię złośliwych wtyczek opublikowanych w JetBrains Marketplace, których zadaniem było potajemne przechwytywanie kluczy API do popularnych usług AI.
W skrócie
W JetBrains Marketplace zidentyfikowano co najmniej 15 złośliwych wtyczek publikowanych z użyciem wielu kont dostawców. Dodatki podszywały się pod narzędzia do code review, asystentów AI, integracje Git oraz funkcje wspierające programowanie. Choć działały zgodnie z deklarowaną funkcją, równolegle przechwytywały wpisywane przez użytkowników klucze API i wysyłały je na zewnętrzny serwer.
- Kampania miała trwać od października 2025 roku.
- Nowe wtyczki pojawiały się jeszcze w czerwcu 2026 roku.
- Łączna liczba pobrań mogła sięgać około 70 tysięcy.
- Celem były klucze API do usług wykorzystywanych przez narzędzia AI dla programistów.
Kontekst / historia
Incydenty typu supply chain najczęściej kojarzą się z rejestrami pakietów i bibliotek wykorzystywanych w procesie budowania aplikacji. Tym razem wektor ataku dotyczył jednak bezpośrednio marketplace’u rozszerzeń do IDE, czyli narzędzia obecnego w codziennej pracy zespołów developerskich, DevOps i platform engineering.
Znaczenie tego przypadku jest szczególne, ponieważ wtyczki IDE działają blisko procesu tworzenia oprogramowania i często mają szeroki dostęp do środowiska użytkownika. Jednocześnie rosnąca popularność narzędzi opartych na sztucznej inteligencji sprawia, że deweloperzy coraz częściej przechowują w IDE klucze dostępu do komercyjnych modeli, usług inferencyjnych i platform wspomagających pisanie kodu. To czyni środowisko programistyczne atrakcyjnym celem dla atakujących poszukujących łatwych do monetyzacji sekretów.
W analizowanej kampanii wtyczki były przedstawiane jako praktyczne dodatki wykorzystujące usługi OpenAI, DeepSeek oraz SiliconFlow. Z perspektywy użytkownika wyglądały więc jak typowe rozszerzenia zwiększające produktywność, a nie jak złośliwe oprogramowanie.
Analiza techniczna
Najważniejszym elementem kampanii było połączenie realnej funkcjonalności z ukrytym mechanizmem eksfiltracji danych. Wtyczki wykonywały deklarowane zadania, ale po zapisaniu konfiguracji przesyłały wprowadzony klucz API do zdalnego serwera kontrolowanego przez operatorów kampanii.
Z dostępnych ustaleń wynika, że mechanizm kradzieży uruchamiał się w chwili zatwierdzenia ustawień rozszerzenia. Następnie sekret był wysyłany do zaszytego na stałe endpointu HTTP. Taki sposób działania wskazuje na prosty, ale skuteczny model pozyskiwania poświadczeń bez konieczności stosowania zaawansowanego malware.
- W kodzie obecny był stały endpoint służący do eksfiltracji danych.
- Do przesyłu wykorzystywano nieszyfrowany kanał HTTP.
- Atak koncentrował się na szybkim przechwytywaniu sekretów z ustawień użytkownika.
- Wiele wykrytych wtyczek współdzieliło bardzo podobny kod.
Badacze wskazali również na użycie wielu kont wydawców, co mogło utrudniać szybkie powiązanie wszystkich próbek z jednym operatorem i omijać podstawowe mechanizmy reputacyjne. Dodatkowo zauważono logikę związaną z płatnym poziomem dostępu, w ramach którego użytkownik mógł otrzymać z serwera gotowy klucz API do dalszej komunikacji z modelem. Taki schemat jest z perspektywy bezpieczeństwa skrajnie podejrzany i może sugerować wtórne wykorzystywanie przejętych poświadczeń.
Wśród częściej pobieranych nazw wskazywano między innymi DeepSeek AI Assist oraz CodeGPT AI Assistant. Sama liczba pobrań nie musi jednak odzwierciedlać liczby faktycznie zainfekowanych systemów, ponieważ statystyki marketplace’u mogą obejmować także aktualizacje i ponowne instalacje.
Konsekwencje / ryzyko
Kradzież kluczy API do usług AI niesie ryzyko wykraczające poza samo przejęcie dostępu technicznego. W pierwszej kolejności może prowadzić do nadużyć billingowych, gdy atakujący wykorzystują cudze poświadczenia do masowych zapytań i generowania kosztów po stronie ofiary.
Drugim zagrożeniem jest możliwość pośredniego ujawnienia danych wrażliwych. Jeżeli organizacja korzysta z modeli AI do analizy kodu, dokumentacji, konfiguracji lub innych materiałów biznesowych, kompromitacja klucza może zwiększyć ryzyko wycieku informacji związanych z projektami i procesami wewnętrznymi.
Nie mniej istotny jest aspekt łańcucha dostaw. Nawet jeśli w tym przypadku głównym celem była kradzież sekretów, podobny kanał dystrybucji mógłby zostać użyty do pobierania dodatkowych ładunków, manipulacji kodem, podmiany commitów czy zbierania innych poświadczeń z maszyn deweloperskich.
- Możliwe straty finansowe wynikające z nadużycia kluczy API.
- Ryzyko wycieku danych przesyłanych do usług AI.
- Zagrożenie dla integralności środowiska developerskiego.
- Potencjalny wpływ na całe organizacje, nie tylko na pojedynczych programistów.
Rekomendacje
Incydent powinien skłonić organizacje korzystające z JetBrains IDE do przeglądu polityki bezpieczeństwa dotyczącej rozszerzeń developerskich. Wtyczki do IDE należy traktować jak pełnoprawny element powierzchni ataku i objąć je podobnym poziomem kontroli jak biblioteki, kontenery czy zależności używane w CI/CD.
- Przeprowadzić natychmiastowy audyt wszystkich zainstalowanych wtyczek w środowiskach JetBrains.
- Usunąć podejrzane rozszerzenia i przeanalizować logi oraz artefakty sieciowe hostów.
- Uznać używane w tych wtyczkach klucze API za skompromitowane i wykonać ich rotację.
- Ograniczyć zakres uprawnień kluczy oraz wdrożyć limity budżetowe i monitoring użycia.
- Stosować firmowe menedżery sekretów zamiast przechowywania tokenów bezpośrednio w ustawieniach pluginów.
- Monitorować ruch wychodzący z maszyn deweloperskich, szczególnie nietypowe połączenia HTTP.
- Wprowadzić listę dozwolonych rozszerzeń oraz proces zatwierdzania nowych dodatków.
- Szkolć zespoły developerskie z ryzyk związanych z rozszerzeniami AI i pluginami produktywnościowymi.
Podsumowanie
Kampania złośliwych wtyczek w JetBrains Marketplace pokazuje, że środowiska programistyczne stały się wartościowym celem dla ataków wymierzonych w sekrety dostępu do usług AI. Atakujący nie musieli wykorzystywać zaawansowanych exploitów — wystarczyło zaufanie użytkowników do marketplace’u i użytecznie wyglądających rozszerzeń. To nowoczesny przykład zagrożenia supply chain, w którym celem nie są wyłącznie hasła administracyjne, lecz także klucze API napędzające codzienną pracę deweloperów.