Bösartige JetBrains-Plugins stahlen KI-API-Schlüssel: 70.000 Entwickler betroffen

Am 16. Juni 2026 veröffentlichte das Sicherheitsunternehmen Aikido Security eine alarmierende Analyse: Eine koordinierte Malware-Kampagne hatte es gezielt auf die wertvollsten digitalen Schlüssel moderner Entwickler abgesehen – die API-Schlüssel für KI-Dienste. Die Angreifer tarnten ihre Schadsoftware als praktische Helfer für den Programmieralltag und platzierten mindestens 15 manipulierte Plugins im offiziellen JetBrains Marketplace. Insgesamt wurden diese Plugins fast 70.000 Mal heruntergeladen, bevor die Kampagne aufflog .

Dieser Vorfall markiert eine neue Eskalationsstufe bei Lieferketten-Angriffen. Es handelte sich nicht um ein isoliertes Schadpaket, sondern um eine systematische Operation, die sich über sieben verschiedene Anbieterkonten erstreckte. Im Visier: API-Schlüssel für KI-Plattformen wie OpenAI, DeepSeek und SiliconFlow – die Generalzugänge zu leistungsstarken und teuren KI-Modellen.

So funktionierte der Angriff

Das Einfallstor war das Vertrauen der Entwickler in die offizielle Plattform. Wer im JetBrains Marketplace nach KI-gestützten Produktivitätstools suchte, stieß auf die scheinbar harmlosen Plugins. Die Täter untermauerten deren Glaubwürdigkeit mit gefälschten Fünf-Sterne-Bewertungen . Einmal installiert, funktionierten die Plugins im Grunde wie beworben: Sie boten Chat-Funktionen, halfen beim Erstellen von Commit-Nachrichten oder beim Schreiben von Unit-Tests – und tarnten so ihre wahre Absicht perfekt .

Der Diebstahl selbst war erschreckend simpel und effektiv: Sobald ein Entwickler seinen API-Schlüssel im Einstellungsfenster des Plugins eintrug und auf "Übernehmen" (Apply) klickte, wurde der Schlüssel sofort im Klartext an einen fest einprogrammierten Server der Angreifer gesendet . Der gesamte Vorgang geschah still und heimlich, das Plugin lief weiter, als wäre nichts geschehen. Es gab nicht den geringsten Hinweis auf den Datendiebstahl.

Aikido Security entdeckte dabei ein besonders dreistes Detail: Einige Malware-Varianten boten sogar eine kostenpflichtige Stufe an. Für einen kleinen Betrag bekamen die Opfer einen vermeintlich "funktionierenden" API-Schlüssel zurück – der mit hoher Wahrscheinlichkeit einem anderen bestohlenen Entwickler gehörte .

Zeitlicher Ablauf und Ausmaß

Laut den Analysen von Aikido tauchten die ersten schädlichen Plugins bereits im Oktober 2025 auf – die jüngsten wurden noch im Juni 2026 veröffentlicht . Die Kampagne lief also mehr als acht Monate völlig unentdeckt auf dem offiziellen Marktplatz. Nach Hochrechnungen des Unternehmens wurden die 15 Plugins unter den sieben betrügerischen Händlerkonten insgesamt rund 70.000 Mal installiert . Es war nach Einschätzung der Experten vermutlich die erste koordinierte Malware-Kampagne dieses Ausmaßes, die es in den JetBrains Marketplace schaffte .

Dieser Vorfall war kein Einzelfall. Er fiel in eine Zeit, in der parallel eine weitere großangelegte Betrugsmasche ablief: Cyberkriminelle erstellten ein Netzwerk von über 88 gefälschten Installationswebseiten für Tools wie Claude Code, Cline und JetBrains selbst. Mit Google Ads lockten sie Entwickler auf diese Seiten, um ihnen Schadsoftware zum Stehlen von Zugangsdaten unterzujubeln . Zusammengenommen zeichnen diese Operationen das Bild einer vielschichtigen und gezielten Jagd auf die digitalen Geheimnisse von KI-Entwicklern.

Ein gezielter Großangriff auf KI-Zugänge

Der Angriff auf den JetBrains Marketplace steht für einen besorgniserregenden Trend in der gesamten Software-Lieferkette. API-Schlüssel von großen Sprachmodellen (Large Language Models, LLMs) sind zu einem der begehrtesten Ziele für Angreifer geworden – und das aus gutem Grund. Ein kompromittierter Schlüssel ermöglicht es Kriminellen, astronomisch hohe Rechnungen für die Modellnutzung zu verursachen, auf private Modelle und interne Firmendaten zuzugreifen oder sich über Schnittstellen Zugang zur verknüpften Cloud-Infrastruktur zu verschaffen. Für Unternehmen kann das schnell existenzbedrohend werden.

Erst Anfang 2026 wurde bekannt, dass das npm-Paket codexui-android, das etwa 28.000 Mal pro Woche heruntergeladen wurde, unbemerkt langlebige OAuth-Tokens von OpenAI stahl. Die Angreifer tarnten den Datenabfluss als harmlose Sentry-Telemetriedaten . Im Jahr zuvor waren bei einer anderen Kampagne 141 Mastra npm-Pakete kompromittiert worden, um bei der Installation Schadcode einzuschleusen . Die Botschaft ist klar: Die Entwicklungsökosysteme, auf die wir uns täglich verlassen, sind angreifbarer denn je.

IDE-Plugins wie die von JetBrains stellen dabei ein besonders wertvolles Ziel dar. Sie laufen mit weitreichenden Rechten innerhalb der Entwicklungsumgebung und haben vollen Zugriff auf alles, womit ein Entwickler arbeitet: Quellcode, gespeicherte Passwörter, SSH-Schlüssel, Cloud-Zugänge und Dateien . Ein bösartiges Plugin ist daher nicht nur ein theoretisches Risiko, sondern eine praktische Hintertür in das Herzstück der Entwicklungsarbeit. Oder wie es eine Analyse nach dem Vorfall treffend formulierte: Ein KI-Assistent, der tief in die IDE integriert ist, ist heute eine "Hochsicherheits-Automatisierungsfläche" in unmittelbarer Nachbarschaft zu den sensibelsten digitalen Unternehmenswerten .

Das sollten Entwickler jetzt tun

Das akute Risiko für alle Entwickler, die in den letzten Monaten mit KI-Assistenten-Plugins experimentiert haben, ist, dass ihre API-Schlüssel bereits in fremden Händen sind. Aikido Security und andere Quellen haben die wichtigsten Sofortmaßnahmen zusammengefasst:

1. Betroffene API-Schlüssel sofort erneuern. Wer zwischen Oktober 2025 und Juni 2026 ein KI-Assistenten-Plugin aus dem JetBrains Marketplace installiert und dort einen API-Schlüssel hinterlegt hat, muss von einer Kompromittierung ausgehen. Erstellen Sie umgehend einen neuen Schlüssel in der Administrationsoberfläche Ihres KI-Anbieters und entziehen Sie dem alten alle Rechte .
2. Installierte Plugins überprüfen. Öffnen Sie die Einstellungen Ihrer IDE, navigieren Sie zum Punkt "Plugins" und gehen Sie die Liste Ihrer installierten Erweiterungen durch. Deaktivieren oder deinstallieren Sie jedes Plugin, das Sie nicht eindeutig kennen und dem Sie nicht vollständig vertrauen. Starten Sie die IDE anschließend neu, um sicherzustellen, dass der Code vollständig aus dem Speicher entfernt wird .
3. Die Arbeitsumgebung auf Rückstände prüfen. Die Deinstallation eines Plugins macht seine Änderungen nicht immer rückgängig – das gilt vor allem für hartnäckige Schadsoftware. Plugins können IDE-Einstellungen und Dateien manipulieren. Achten Sie auf ungewöhnliche Konfigurationen oder verdächtige Netzwerkaktivitäten, die nach der Entfernung fortbestehen .
4. Berechtigungen genau studieren. Seien Sie besonders misstrauisch bei Plugins, die einen umfassenden Netzzugriff anfordern, ohne dass es dafür einen klar ersichtlichen Grund gibt. Eine reine Code-Formatierungshilfe braucht zum Beispiel keine Verbindung zu externen Servern.
5. Kurzlebige und zweckgebundene API-Schlüssel verwenden. Zahlreiche KI-Anbieter bieten die Möglichkeit, Schlüssel in ihren Rechten zu beschränken, etwa auf bestimmte Projekte oder Dienste, und mit einem Ablaufdatum zu versehen. Kontrollieren Sie regelmäßig Ihre Abrechnungsübersichten auf ungewöhnliche Nutzungsspitzen – ein plötzlicher Kostenanstieg ist oft das erste Warnsignal für einen Missbrauch.

Dieser Vorfall sollte als dringender Weckruf für jeden Entwickler und jedes Unternehmen verstanden werden, das mit KI-Tools arbeitet. Die Bedrohung ist keine abstrakte Möglichkeit mehr, sondern hat eine konkrete und sehr gefährliche Form angenommen.