JetBrains Eklentileri 70.000 Geliştiricinin Yapay Zeka API Anahtarını Çaldı

16 Haziran 2026'da güvenlik firması Aikido Security, geliştiricilerin IDE'lerinden (Entegre Geliştirme Ortamı) doğrudan yapay zeka servis kimlik bilgilerini sızdıran koordineli bir kötü amaçlı yazılım kampanyasını ifşa etti. Saldırganlar, resmî JetBrains Marketplace'e en az 15 zararlı eklenti yayınladı. Bu eklentiler, yapay zeka destekli kodlama asistanları, kod inceleme araçları ve Git yardımcıları gibi görünüyordu. Kampanya keşfedilene kadar bu eklentiler toplamda yaklaşık 70.000 kez yüklendi .

Bu operasyon, tedarik zinciri saldırılarında önemli bir tırmanışı işaret ediyor. Münferit kötü amaçlı paketlerin aksine bu, aynı kimlik bilgisi çalma kodunu paylaşan ve yedi farklı satıcı hesabına yayılmış sistematik bir çabaydı. Saldırı, modern bir geliştiricinin alet çantasındaki en değerli varlıklardan birini hedef aldı: OpenAI, DeepSeek ve SiliconFlow gibi yapay zeka platformlarının API anahtarları.

Saldırı Nasıl Gerçekleşti?

Bulaşma vektörü tamamen güvenilir bir ekosistem içindeki sosyal mühendisliğe dayanıyordu. JetBrains Marketplace'te yapay zeka destekli üretkenlik araçları arayan geliştiriciler, bu eklentilerle karşılaşıyordu. Eklentiler, meşru görünmek için sahte beş yıldızlı yorumlarla desteklenmişti . Bir kez yüklendiklerinde, eklentiler büyük ölçüde vaat ettikleri gibi çalışıyor; sohbet, commit mesajı oluşturma ve birim testi gibi özellikler sunarak asıl kötü amaçlı davranışlarını maskeliyordu .

Hırsızlık mekanizması son derece basit ve etkiliydi. Bir geliştirici, yapay zeka sağlayıcısının API anahtarını eklentinin ayarlar paneline yapıştırıp Uygula (Apply) düğmesine tıkladığında, anahtar anında düz metin olarak sabit kodlanmış, saldırgan kontrolündeki bir sunucuya iletiliyordu . Veri sızıntısı sessizce gerçekleşiyor ve eklenti çalışmaya devam ederek kullanıcıya kimlik bilgisinin çalındığına dair hiçbir işaret vermiyordu.

Aikido özellikle cüretkâr bir ayrıntıya dikkat çekti: Kötü amaçlı yazılımın bazı varyantları ücretli bir kademe bile içeriyordu. Mağdurlar, küçük bir ücret karşılığında "çalışan" bir API anahtarı geri alabiliyordu; bu anahtar büyük olasılıkla başka bir mağdurdan çalınmıştı .

Zaman Çizelgesi ve Ölçek

Aikido'nun analizine göre, bu kötü amaçlı eklentilerden ilki Ekim 2025'te ortaya çıktı ve yenileri Haziran 2026 gibi yakın bir tarihe kadar yayınlanmaya devam etti . Bu, kampanyanın tespit edilmeden önce resmî pazarda sekiz aydan uzun bir süredir faaliyet gösterdiği anlamına geliyor.

Aikido'nun açıklaması sırasında, 15 eklenti yedi sahte satıcı hesabı altında yaklaşık 70.000 toplam yüklemeye ulaşmıştı . Operasyonun ölçeği, bunun muhtemelen JetBrains Marketplace'e başarıyla sızmayı başaran türünün ilk koordineli kötü amaçlı yazılım kampanyası olduğunu gösteriyor .

JetBrains olayı tek başına meydana gelmedi. Paralel bir kampanyada tehdit aktörleri, Google Ads kullanarak geliştiricileri kimlik bilgisi çalan kötü amaçlı yazılımlara yönlendirmek için Claude Code, Cline ve JetBrains'i taklit eden 88'den fazla sahte yükleyici web sitesinden oluşan bir ağ oluşturdu . Bu operasyonlar bir arada, yapay zeka geliştiricilerinin sırlarını hedef alan kasıtlı ve çok yönlü bir çabaya işaret ediyor.

Yapay Zeka Kimlik Bilgilerine Yönelik Daha Geniş Çaplı Bir Saldırı

JetBrains Marketplace saldırısı, yazılım tedarik zincirinde rahatsız edici bir eğilimin parçası. Büyük dil modelleri için API anahtarları, sağladıkları erişim nedeniyle saldırganlar için birincil hedef haline geldi. Ele geçirilmiş bir anahtar, büyük sorgulama faturaları çıkarmak, özel modellere ve dahili verilere erişmek veya bağlı bulut altyapısına sızmak için kullanılabilir.

Bu yılın başlarında, haftada yaklaşık 28.000 kez indirilen npm paketi codexui-android'in, süresi dolmayan OpenAI OAuth yenileme token'larını sessizce sızdırdığı tespit edildi . Saldırganlar veri sızıntısını rutin Sentry telemetri trafiği gibi gizledi. 2025'te ise ayrı bir kampanya, kurulum sırasında kötü amaçlı kod enjekte etmek için 141 Mastra npm paketini tehlikeye atarak geliştirme ekosistemlerinin kırılganlığını bir kez daha gösterdi .

IDE eklentileri özellikle yüksek değerli bir hedefi temsil eder. JetBrains ortamlarındaki eklentiler, IDE sürecine tam erişimle çalışır; bu da kaynak kodu okuyabilecekleri, depolanan kimlik bilgilerine erişebilecekleri, dosyaları değiştirebilecekleri ve ağ bağlantıları başlatabilecekleri anlamına gelir . Kötü amaçlı bir eklenti yalnızca teorik bir risk değil, bir geliştiricinin dokunduğu her şeye açılan pratik bir arka kapıdır. Olay sonrası bir analizin belirttiği gibi, bir IDE'ye bağlı bir yapay zeka asistanı artık kaynak kodun, sırların, SSH anahtarlarının ve bulut kimlik bilgilerinin yanında oturan "yüksek ayrıcalıklı bir otomasyon yüzeyidir" .

Geliştiriciler Şimdi Ne Yapmalı?

Son aylarda yapay zeka asistanı eklentilerini deneyen herhangi bir geliştirici için acil risk, API anahtarlarının zaten bir saldırganın elinde olmasıdır. Aikido ve diğer güvenlik kaynakları, yanıtı birkaç temel adımda özetledi.

1. Açığa çıkan API anahtarlarını hemen yenileyin. Ekim 2025 ile Haziran 2026 arasında JetBrains Marketplace'ten bir yapay zeka asistanı eklentisi yüklediyseniz ve bir API anahtarı girdiyseniz, bu anahtarın tehlikeye girdiğini varsayın. Yapay zeka sağlayıcınızın kontrol panelinden yeni bir anahtar oluşturun ve eskisini vakit kaybetmeden iptal edin .

2. Yüklü eklentilerinizi denetleyin. IDE'nizin Ayarlar/Tercihler bölümünü açın, Eklentiler (Plugins) kısmına gidin ve Yüklü (Installed) listesini gözden geçirin. Açıkça tanımadığınız ve güvenmediğiniz tüm eklentileri devre dışı bırakın veya kaldırın. Kaldırdıktan sonra, kodunun bellekten tamamen temizlendiğinden emin olmak için IDE'yi yeniden başlatın .

3. Ortamınızı kalan değişiklikler için gözden geçirin. Bir eklentiyi kaldırmak, tüm etkilerinin geri alındığını garanti etmez. Eklentiler IDE ayarlarını ve dosyalarını değiştirebilir; kaldırma işleminden sonra devam eden beklenmedik yapılandırmaları veya ağ davranışlarını kontrol edin .

4. Yüklemeden önce eklenti izinlerini dikkatlice inceleyin. Özellikle net bir gerekçe olmaksızın geniş ağ erişimi talep eden eklentilere karşı dikkatli olun. Örneğin, bir kod biçimlendirme aracının harici sunucularla iletişim kurması gerekmez.

5. Kısa ömürlü ve kapsamı sınırlı API anahtarlarını benimseyin. Yapay zeka sağlayıcınızın desteklediği yerlerde, anahtarları belirli projeler veya hizmetlerle kısıtlayın ve son kullanma tarihleri belirleyin. Kimlik bilgisi kötüye kullanımının erken bir uyarısı olabilecek olağandışı kullanım artışları için faturalandırma panolarını aktif olarak izleyin.

6. Şüpheli eklentileri bildirin. Beklenmedik şekilde davranan bir eklentiyle karşılaşırsanız, platformun güvenlik ekibini bilgilendirmek için JetBrains Marketplace sayfasındaki "Eklentiyi Bildir" (Report Plugin) seçeneğini kullanın . Toplu dikkat, tedarik zinciri tehditlerine karşı en etkili savunmalardan biri olmaya devam ediyor.