Złośliwe wtyczki JetBrains wykradły klucze API AI od 70 000 programistów

16 czerwca 2026 roku firma Aikido Security ujawniła skoordynowaną kampanię malware, która przez wiele miesięcy wysysała dane uwierzytelniające do usług sztucznej inteligencji bezpośrednio ze środowisk IDE programistów. Atakujący opublikowali w oficjalnym JetBrains Marketplace co najmniej 15 złośliwych wtyczek, podszywając się pod pomocnych asystentów kodowania AI, narzędzia do przeglądu kodu i rozszerzenia Git. Łącznie, zanim odkryto proceder, wtyczki te zostały zainstalowane blisko 70 000 razy .

Operacja ta oznacza znaczącą eskalację ataków na łańcuch dostaw. W przeciwieństwie do odosobnionych złośliwych pakietów, było to systematyczne działanie obejmujące siedem różnych kont dostawców, z których wszystkie wykorzystywały ten sam mechanizm kradzieży poświadczeń. Celem stał się jeden z najcenniejszych elementów w nowoczesnym warsztacie programisty: klucze API do platform SI, takich jak OpenAI, DeepSeek i SiliconFlow.

Jak działał atak?

Wektor infekcji opierał się wyłącznie na socjotechnice w ramach zaufanego ekosystemu. Programiści przeglądający JetBrains Marketplace w poszukiwaniu narzędzi zwiększających produktywność napotykali te wtyczki. Ich wiarygodność sztucznie zawyżały fałszywe pięciogwiazdkowe recenzje . Po zainstalowaniu wtyczki w dużej mierze działały zgodnie z deklaracjami – oferowały funkcje czatu, generowania opisów commitów i testów jednostkowych, co doskonale maskowało ich złośliwe zachowanie .

Mechanizm kradzieży był brutalnie prosty i skuteczny. Programista wklejał klucz API swojego dostawcy SI do panelu ustawień wtyczki i klikał Zastosuj (Apply). W tym momencie klucz był natychmiast przesyłany jawnym tekstem na serwer kontrolowany przez atakujących, którego adres był zakodowany na stałe w kodzie wtyczki . Eksfiltracja odbywała się po cichu, a wtyczka nadal działała, nie dając użytkownikowi żadnego sygnału, że jego dane uwierzytelniające zostały skradzione.

Aikido zwróciło uwagę na wyjątkowo bezczelny szczegół: niektóre warianty malware zawierały nawet płatny abonament. Ofiary mogły uiścić niewielką opłatę, aby w zamian otrzymać z powrotem "działający" klucz API – prawdopodobnie skradziony innemu skompromitowanemu programiście .

Kalendarium i skala zjawiska

Zgodnie z analizą Aikido, pierwsze z tych złośliwych wtyczek pojawiły się w październiku 2025 roku, a najnowsze były publikowane jeszcze w czerwcu 2026 roku . Oznacza to, że kampania trwała nieprzerwanie przez ponad osiem miesięcy na oficjalnym rynku, zanim została w ogóle wykryta.

W momencie ujawnienia informacji przez Aikido, 15 wtyczek pochodzących z siedmiu fałszywych kont dostawców miało łącznie około 70 000 instalacji . Skala operacji sugeruje, że była to prawdopodobnie pierwsza skoordynowana kampania malware tego rodzaju, która z powodzeniem przeniknęła do JetBrains Marketplace .

Incydent z JetBrains nie był odosobniony. Zbiegł się w czasie z równoległą kampanią, w ramach której cyberprzestępcy stworzyli sieć ponad 88 fałszywych stron instalacyjnych podszywających się pod Claude Code, Cline i JetBrains, wykorzystując reklamy Google Ads, by przekierowywać programistów do złośliwego oprogramowania kradnącego dane uwierzytelniające . Wszystko to wskazuje na zaplanowany, wielotorowy atak wymierzony w sekrety programistów pracujących ze sztuczną inteligencją.

Zmasowany atak na poświadczenia SI

Atak na JetBrains Marketplace wpisuje się w niepokojący trend w całym łańcuchu dostaw oprogramowania. Klucze API do dużych modeli językowych (LLM) stały się głównym celem atakujących ze względu na dostęp, jaki zapewniają. Przejęty klucz może posłużyć do wygenerowania gigantycznych rachunków za inferencję, uzyskania dostępu do prywatnych modeli i danych wewnętrznych lub eskalacji ataku na połączoną infrastrukturę chmurową.

W 2026 roku odkryto, że pakiet npm codexui-android, który miał około 28 000 pobrań tygodniowo, po cichu wykradał niewygasające tokeny odświeżania OAuth OpenAI . Atakujący zamaskowali eksfiltrację jako rutynowy ruch telemetryczny Sentry. Z kolei w 2025 roku inna kampania skompromitowała 141 pakietów npm Mastra, aby wstrzykiwać złośliwy kod w momencie instalacji, co jeszcze dobitniej pokazuje kruchość ekosystemów deweloperskich .

Wtyczki IDE stanowią szczególnie cenny cel. Działają one z pełnym dostępem do procesu IDE, co oznacza, że mogą odczytywać kod źródłowy, uzyskiwać dostęp do przechowywanych poświadczeń, modyfikować pliki i inicjować połączenia sieciowe . Złośliwa wtyczka to nie tylko teoretyczne ryzyko, ale praktyczna "tylna furtka" do wszystkiego, czego dotyka programista. Jak zauważono w analizie po incydencie, asystent SI wpięty do IDE stanowi obecnie "wysoko uprzywilejowaną powierzchnię automatyzacji", mającą bezpośredni dostęp do kodu źródłowego, sekretów, kluczy SSH i poświadczeń chmurowych .

Co programiści powinni zrobić teraz?

Natychmiastowym ryzykiem dla każdego programisty, który w ostatnich miesiącach testował wtyczki z asystentami SI, jest to, że jego klucz API znajduje się już w rękach atakującego. Aikido i inni eksperci ds. bezpieczeństwa opracowali zestaw niezbędnych kroków.

1. Natychmiastowa rotacja narażonych kluczy API. Jeśli między październikiem 2025 a czerwcem 2026 zainstalowałeś wtyczkę asystenta SI z JetBrains Marketplace i wprowadziłeś do niej klucz API, uznaj go za skompromitowany. Wygeneruj nowy klucz w panelu swojego dostawcy SI i bezzwłocznie unieważnij stary .

2. Audyt zainstalowanych wtyczek. Otwórz Ustawienia/Preferencje swojego IDE, przejdź do sekcji Wtyczki (Plugins) i sprawdź listę Zainstalowane. Wyłącz lub odinstaluj każdą wtyczkę, której jednoznacznie nie rozpoznajesz i nie ufasz. Po usunięciu uruchom ponownie IDE, aby upewnić się, że jej kod został całkowicie usunięty z pamięci .

3. Sprawdź środowisko pod kątem pozostałych zmian. Odinstalowanie wtyczki nie gwarantuje, że wszystkie jej efekty zostały cofnięte. Wtyczki mogą modyfikować ustawienia IDE i pliki. Zweryfikuj, czy po usunięciu nie pozostały żadne nieoczekiwane konfiguracje lub podejrzane zachowania sieciowe .

4. Weryfikuj uprawnienia wtyczek przed instalacją. Zachowaj szczególną ostrożność wobec wtyczek, które bez wyraźnego uzasadnienia żądają szerokiego dostępu do sieci. Narzędzie do formatowania kodu nie powinno na przykład potrzebować połączenia z zewnętrznymi serwerami.

5. Stosuj klucze API o krótkim terminie ważności i ograniczonym zakresie. Jeśli Twój dostawca SI na to pozwala, ograniczaj klucze do konkretnych projektów lub usług i ustawiaj daty wygaśnięcia. Aktywnie monitoruj panele rozliczeniowe pod kątem nietypowych skoków zużycia, które mogą być wczesnym ostrzeżeniem o nadużyciu poświadczeń.

6. Zgłaszaj podejrzane wtyczki. Jeśli napotkasz wtyczkę zachowującą się podejrzanie, użyj opcji "Zgłoś wtyczkę" (Report Plugin) na jej stronie w JetBrains Marketplace, aby powiadomić zespół ds. bezpieczeństwa platformy . Wspólna czujność pozostaje jedną z najskuteczniejszych metod obrony przed zagrożeniami w łańcuchu dostaw.