O campanie coordonată de malware a fost descoperită pe JetBrains Marketplace, unde cel puțin 15 pluginuri malițioase se deghizează în asistenți de programare bazați pe inteligență artificială. Acestea promit funcții utile precum chat, generare de mesaje de commit, revizuire de cod și teste unitare, dar, în realitate, colectează cheile API pentru servicii AI precum OpenAI, DeepSeek și Anthropic, trimițându-le către servere controlate de atacatori.
Cum funcționează atacul?
Pluginurile sunt publicate pe JetBrains Marketplace, magazinul oficial de extensii pentru IDE-uri precum IntelliJ, WebStorm și PyCharm. Ele se prezintă ca unelte AI bazate pe modele lingvistice mari, cum ar fi DeepSeek, și oferă funcționalități atractive pentru dezvoltatori: chat interactiv, sugestii de cod, găsirea de bug-uri și generarea automată de teste. Odată instalate, pluginurile scanează proiectele locale în căutarea fișierelor de configurare care conțin chei API, apoi le exfiltrează prin rețea.
Ce date sunt vizate?
Ținta principală o reprezintă cheile de acces pentru platforme AI populare. Cercetătorii au confirmat că atacatorii colectează chei pentru OpenAI, DeepSeek, Anthropic, Google AI și alți furnizori. În plus, unele pluginuri par să extragă și date de autentificare din browserele instalate, precum și informații din portofelele de criptomonede. Aceste informații sunt apoi vândute pe piețele negre sau folosite direct pentru a accesa servicii AI pe banii victimelor.
Legătura cu extensiile Chrome malițioase
Campania nu se limitează la pluginurile JetBrains. Aceiași actori rău intenționați distribuie și extensii malițioase pentru browserul Chrome, care se deghizează în aplicații de chat AI. Aceste extensii capturează întregul istoric al conversațiilor utilizatorilor cu chatbot-uri, inclusiv întrebări și răspunsuri, și fură tokenuri de sesiune. Astfel, atacatorii pot prelua conturi și accesa date valoroase de pe diverse platforme online.
De ce sunt dezvoltatorii ținte principale?
Dezvoltatorii de software folosesc frecvent servicii AI integrate în fluxul de lucru, iar cheile API sunt adesea stocate în fișiere de configurare sau variabile de mediu, uneori fără restricții stricte de cost. Prin compromiterea acestor chei, atacatorii pot rula modele scumpe pe seama victimelor, generând facturi de mii de dolari. Mai mult, datele exfiltrate pot include informații confidențiale despre proiecte, ceea ce reprezintă un risc de securitate major pentru companii.
Ce înseamnă pentru tine
Dacă ești dezvoltator și folosești pluginuri din JetBrains Marketplace, este esențial să iei măsuri imediate:
- Verifică pluginurile instalate: Revizuiește lista extensiilor din IDE și elimină orice plugin care nu este strict necesar sau a cărui sursă nu este de încredere. Verifică data ultimei actualizări și recenziile.
- Protejează-ți cheile API: Nu stoca cheile în fișiere de configurare locale nesecurizate. Folosește manageri de secrete, variabile de mediu criptate sau sisteme de gestionare a identității. Activează monitorizarea consumului și limitele de cost pe fiecare cheie API.
- Fii atent la extensiile de browser: Nu instala extensii Chrome de chat AI din surse neverificate. Revizuiește periodic permisiunile acordate extensiilor și dezinstalează-le pe cele suspecte.