Ondsindede JetBrains-plugins stjal AI API-nøgler fra 70.000 udviklere

Den 16. juni 2026 afslørede sikkerhedsfirmaet Aikido Security en koordineret malwarekampagne, der i al ubemærkethed havde stjålet loginoplysninger til AI-tjenester direkte fra udvikleres udviklingsmiljøer (IDE'er). Bagmændene havde offentliggjort mindst 15 ondsindede plugins på den officielle JetBrains Marketplace, forklædt som nyttige AI-kodningsassistenter, kodevurderingsværktøjer og Git-hjælpeprogrammer. Tilsammen blev disse plugins installeret tæt på 70.000 gange, før kampagnen blev opdaget .

Operationen markerer en markant optrapning af forsyningskædeangreb. I modsætning til isolerede, ondsindede pakker, var der her tale om et systematisk angreb, der spændte over syv forskellige sælgerkonti, som alle delte den samme bagvedliggende kode til at stjæle legitimationsoplysninger. Kampagnen var rettet mod et af de mest værdifulde aktiver i en moderne udviklers værktøjskasse: API-nøgler til AI-platforme som OpenAI, DeepSeek og SiliconFlow.

Sådan fungerede angrebet

Smittevejen beroede fuldstændigt på social engineering inden for et betroet økosystem. Når udviklere gennemsøgte JetBrains Marketplace efter AI-drevne produktivitetsværktøjer, stødte de på de ondsindede plugins, som var blevet oppustet med falske femstjernede anmeldelser for at virke legitime . Efter installationen fungerede plugins stort set som lovet og tilbød funktioner som chat, generering af commit-beskeder og enhedstests, hvilket slørede den skjulte, ondsindede adfærd .

Selve tyverimekanismen var brutal simpel og effektiv. Når en udvikler indsatte sin AI-udbyders API-nøgle i plugin'ets indstillingspanel og klikkede på Anvend, blev nøglen øjeblikkeligt transmitteret i ren tekst til en hardcodet, angriberkontrolleret server . Dataudtrækket skete lydløst, og plugin'et fortsatte med at fungere, uden at brugeren fik nogen indikation af, at deres legitimationsoplysninger var blevet stjålet.

Aikido bemærkede en særligt fræk detalje: Nogle varianter af malwaren inkluderede endda en betalingsmulighed, hvor ofre kunne betale et mindre gebyr for at modtage en "fungerende" API-nøgle retur, som sandsynligvis var stjålet fra en anden kompromitteret udvikler .

Tidslinje og omfang

Ifølge Aikidos analyse dukkede det første af disse ondsindede plugins op i oktober 2025, og nye blev offentliggjort så sent som i juni 2026 . Det betyder, at kampagnen fandt sted i over otte måneder på den officielle markedsplads, før den blev opdaget.

På tidspunktet for Aikidos afsløring havde de 15 plugins opnået cirka 70.000 samlede installationer fordelt på de syv svindelkonti . Operationens omfang tyder på, at det sandsynligvis var den første koordinerede malwarekampagne af sin art, der med succes infiltrerede JetBrains Marketplace .

JetBrains-hændelsen opstod ikke isoleret. Den faldt sammen med en parallel kampagne, hvor trusselsaktører skabte et netværk af mere end 88 falske installationswebsites, der udgav sig for at være Claude Code, Cline og JetBrains, og brugte Google Ads til at lede udviklere mod legitimationsstjælende malware . Tilsammen signalerer disse operationer en bevidst og mangesidet indsats for at ramme AI-udvikleres hemmelighedsnøgler.

Et bredere angreb på AI-legitimationsoplysninger

Angrebet på JetBrains Marketplace er en del af en bekymrende tendens på tværs af software forsyningskæden. API-nøgler til store sprogmodeller (LLM'er) er blevet et primært mål for angribere på grund af den adgang, de giver. En kompromitteret nøgle kan bruges til at generere enorme regninger, få adgang til private modeller og interne data, eller videregive adgang til forbundet cloud-infrastruktur.

Tidligere i 2026 blev npm-pakken codexui-android, som havde omkring 28.000 ugentlige downloads, afsløret i lydløst at udtrække ikke-udløbende OpenAI OAuth refresh-tokens . Angriberne camouflerede dataudtrækket som rutinemæssig Sentry-telemetritrafik. I 2025 kompromitterede en separat kampagne 141 Mastra npm-pakker for at injicere ondsindet kode ved installation, hvilket yderligere demonstrerede skrøbeligheden i udviklingsøkosystemer .

IDE-plugins udgør et særligt attraktivt mål. Plugins i JetBrains-miljøer kører med fuld adgang til IDE-processen, hvilket betyder, at de kan læse kildekode, tilgå gemte legitimationsoplysninger, ændre filer og starte netværksforbindelser . Et ondsindet plugin er ikke kun en teoretisk risiko, men en praktisk bagdør til alt, hvad en udvikler rører ved. Som en analyse efter hændelsen bemærkede, er en AI-assistent, der er forbundet til en IDE, nu en "højt privilegeret automatiseringsflade", der sidder ved siden af kildekode, hemmelighedsnøgler, SSH-nøgler og cloud-legitimationsoplysninger .

Hvad udviklere bør gøre nu

Den umiddelbare risiko for enhver udvikler, der har eksperimenteret med AI-assistent-plugins i de seneste måneder, er, at deres API-nøgle allerede er i hænderne på en angriber. Aikido og andre sikkerhedskilder har kogt svaret ned til flere essentielle trin.

1. Skift eksponerede API-nøgler øjeblikkeligt. Hvis du har installeret et AI-assistent-plugin fra JetBrains Marketplace mellem oktober 2025 og juni 2026 og indtastet en API-nøgle, så gå ud fra, at den er kompromitteret. Generer en ny nøgle fra din AI-udbyders dashboard, og tilbagekald den gamle uden forsinkelse .

2. Foretag et eftersyn af dine installerede plugins. Åbn din IDE's Indstillinger/Præferencer, naviger til Plugins, og gennemgå den installerede liste. Deaktiver eller afinstaller ethvert plugin, du ikke udtrykkeligt genkender og har tillid til. Efter fjernelse skal du genstarte IDE'en for at sikre, at dens kode er fuldstændig fjernet fra hukommelsen .

3. Gennemgå dit miljø for resterende ændringer. Afinstallation af et plugin garanterer ikke, at alle dets effekter er omgjort. Plugins kan ændre IDE-indstillinger og filer; undersøg for uventede konfigurationer eller netværksadfærd, der fortsætter efter fjernelsen .

4. Undersøg plugins tilladelser kritisk, før du installerer. Vær især på vagt over for plugins, der anmoder om bred netværksadgang uden klar begrundelse. Et kodeformateringsværktøj bør for eksempel ikke have brug for at kommunikere med eksterne servere.

5. Anvend kortvarige og afgrænsede API-nøgler. Hvor din AI-udbyder understøtter det, bør du begrænse nøgler til specifikke projekter eller tjenester og indstille udløbsdatoer. Overvåg faktureringsdashboards aktivt for usædvanlige stigninger i forbrug, hvilket kan være en tidlig advarsel om misbrug af legitimationsoplysninger.

6. Rapporter mistænkelige plugins. Hvis du støder på et plugin, der opfører sig uventet, så brug "Rapporter Plugin"-muligheden på dets JetBrains Marketplace-side for at underrette platformens sikkerhedsteam . Kollektiv årvågenhed er fortsat et af de mest effektive forsvar mod forsyningskædetrusler.