Вредоносные плагины JetBrains украли ключи API у 70 000 разработчиков

Особую наглость проявили создатели некоторых версий вредоносного ПО: они внедрили платную подписку, где жертва могла заплатить небольшую сумму и получить «рабочий» ключ обратно. Скорее всего, этот ключ был украден у другого пострадавшего разработчика .

Хронология и масштаб

По данным Aikido, первый вредоносный плагин появился в октябре 2025 года, а последние экземпляры загружались вплоть до июня 2026-го . Это значит, что кампания действовала в официальном маркетплейсе более восьми месяцев, прежде чем её заметили.

На момент публикации отчёта 15 плагинов набрали порядка 70 000 установок, а за ними стояли семь фальшивых аккаунтов поставщиков . Масштаб позволяет предположить, что это первая скоординированная атака подобного размаха, добравшаяся до JetBrains Marketplace .

JetBrains-инцидент случился не в вакууме. Параллельно злоумышленники создали сеть из более чем 88 подставных сайтов-установщиков, мимикрировавших под Claude Code, Cline и JetBrains. Через Google Ads они заманивали разработчиков и заражали их вредоносным ПО для кражи учётных данных . Всё вместе это — спланированная многоходовая охота за секретами AI-разработчиков.

Атака на всё AI-окружение

Эта атака — лишь звено в тревожной цепочке событий всей экосистемы поставок ПО. API-ключи к большим языковым моделям стали лакомой добычей: с их помощью можно нагонять астрономические счета за инференс, получать доступ к приватным моделям и корпоративным данным или проникать в подключённую облачную инфраструктуру.

В начале 2026 года npm-пакет codexui-android, с еженедельной аудиторией около 28 000 установок, незаметно похищал неистекающие OAuth refresh-токены OpenAI . Для отвода глаз трафик маскировали под легитимную телеметрию Sentry. Годом ранее другая кампания скомпрометировала 141 npm-пакет Mastra для внедрения вредоносного кода при установке — лишнее подтверждение хрупкости экосистемы разработки .

Плагины для IDE — особенно лакомый трофей. В средах JetBrains расширения запускаются с полным доступом к процессу IDE: они могут читать исходный код, извлекать сохранённые учётные данные, менять файлы и инициировать сетевые соединения . Вредоносный плагин — не просто теоретическая угроза, а практический «чёрный ход» ко всему, с чем работает разработчик. Как сформулировали исследователи, AI-ассистент, встроенный в IDE, превратился в «поверхность автоматизации с высокими привилегиями», расположенную рядом с исходным кодом, секретами, SSH-ключами и облачными учётными данными .

Что делать разработчикам

Главный риск для любого, кто экспериментировал с AI-ассистентами в последние месяцы, — API-ключ уже в руках злоумышленников. Aikido и другие эксперты сводят план действий к нескольким шагам.

1. Немедленно отзовите скомпрометированные ключи. Если вы устанавливали AI-плагин из JetBrains Marketplace в период с октября 2025 по июнь 2026 года и вводили API-ключ, считайте его украденным. Сгенерируйте новый ключ в панели управления вашего AI-провайдера и без промедлений деактивируйте старый .

2. Проведите ревизию установленных плагинов. Откройте Settings/Preferences → Plugins, просмотрите вкладку Installed. Отключите или удалите всё, что не узнаёте и чему не доверяете. После удаления обязательно перезапустите IDE, чтобы полностью очистить код плагина из памяти .

3. Проверьте среду на остаточные изменения. Удаление плагина не гарантирует откат сделанных им правок. Расширения могут менять настройки и конфигурационные файлы — проверьте, не осталось ли подозрительных конфигураций или необычной сетевой активности .

4. Анализируйте разрешения плагинов до загрузки. Особую настороженность должны вызывать расширения, запрашивающие широкий сетевой доступ без очевидного обоснования. Например, инструменту для форматирования кода незачем выходить в интернет.

5. Переходите на короткоживущие и ограниченные по области ключи. Если провайдер AI позволяет — выпускайте ключи, привязанные к конкретным проектам или сервисам, и задавайте им срок действия. Активно следите за биллинговой панелью: нехарактерный скачок потребления — ранний признак компрометации.

6. Сообщайте о подозрительных плагинах. Обнаружили странное поведение — нажмите «Report Plugin» на странице расширения в JetBrains Marketplace, чтобы уведомить команду платформы . Коллективная бдительность пока остаётся одной из самых действенных защит от угроз в цепочках поставок.