Масована атака на розробників: плагіни JetBrains крали ключі доступу до ШІ

16 червня 2026 року компанія з кібербезпеки Aikido Security викрила скоординовану кампанію зловмисників, яка місяцями непомітно викрадала облікові дані ШІ-сервісів просто з середовищ розробки (IDE). Зловмисники опублікували щонайменше 15 шкідливих плагінів в офіційному маркетплейсі JetBrains, замаскувавши їх під корисні ШІ-помічники для коду, інструменти для рев'ю коду та Git-утиліти. Загалом ці плагіни були встановлені майже 70 000 разів, перш ніж кампанію було виявлено .

Ця операція є суттєвою ескалацією атак на ланцюжки постачання (supply chain). На відміну від поодиноких шкідливих пакетів, це була системна спроба, що охоплювала сім різних акаунтів продавців, які використовували однаковий код для викрадення даних. Головною ціллю став один із найцінніших активів сучасного розробника — API-ключі до таких ШІ-платформ, як OpenAI, DeepSeek та SiliconFlow.

Як працювала атака

Вектор зараження повністю базувався на соціальній інженерії в довіреній екосистемі. Розробники, шукаючи в JetBrains Marketplace інструменти для підвищення продуктивності на основі ШІ, натрапляли на ці плагіни, рейтинг яких був штучно роздутий фальшивими п'ятизірковими відгуками . Після встановлення плагіни здебільшого працювали, як і було заявлено, пропонуючи чат, генерацію комітів чи юніт-тести, що маскувало їхню шкідливу поведінку .

Механізм крадіжки був простим і водночас дуже ефективним. Розробник вставляв API-ключ від свого ШІ-провайдера в панель налаштувань плагіна і натискав «Застосувати». Саме в цей момент ключ негайно передавався у відкритому вигляді на заздалегідь визначений сервер зловмисників . Ексфільтрація даних відбувалася тихо, а плагін продовжував працювати, ніяк не показуючи користувачеві, що його дані вкрадено.

Aikido відзначила особливо цинічну деталь: деякі варіанти шкідливого ПЗ навіть мали платний рівень, де жертви могли заплатити невелику суму, щоб отримати назад «робочий» API-ключ, який, найімовірніше, був викрадений в іншого розробника .

Хронологія та масштаби

Згідно з аналізом Aikido, перші з цих шкідливих плагінів з'явилися ще в жовтні 2025 року, а нові публікувалися аж до червня 2026 року . Це означає, що кампанія діяла в офіційному маркетплейсі понад вісім місяців до моменту виявлення.

На момент публікації звіту Aikido, 15 плагінів із семи фальшивих акаунтів мали сумарно близько 70 000 встановлень . Масштаб операції свідчить про те, що це, ймовірно, перша скоординована кампанія такого роду, яка успішно проникла в JetBrains Marketplace .

Інцидент із JetBrains не був поодиноким випадком. Він збігся в часі з паралельною кампанією, де зловмисники створили мережу з понад 88 фейкових сайтів-інсталяторів, що імітували Claude Code, Cline та JetBrains, використовуючи Google Ads, щоб скеровувати розробників на шкідливе ПЗ для викрадення облікових даних . Разом ці операції свідчать про цілеспрямовану та багатовекторну атаку на секрети розробників ШІ.

Чому API-ключі ШІ стали ласим шматочком

Атака на JetBrains Marketplace є частиною тривожної тенденції в усьому ланцюжку постачання програмного забезпечення. API-ключі до великих мовних моделей стали основною ціллю для зловмисників через рівень доступу, який вони надають. Скомпрометований ключ можна використати для створення величезних рахунків за використання, доступу до приватних моделей і внутрішніх даних або для проникнення в підключену хмарну інфраструктуру.

Раніше у 2026 році npm-пакет codexui-android, який мав близько 28 000 щотижневих завантажень, було викрито на тихому викраденні безстрокових токенів оновлення OAuth від OpenAI . Зловмисники маскували ексфільтрацію під звичайний телеметричний трафік Sentry. У 2025 році окрема кампанія скомпрометувала 141 npm-пакет Mastra для впровадження шкідливого коду під час встановлення .

Плагіни для IDE є особливо цінною ціллю. У середовищах JetBrains вони виконуються з повним доступом до процесу IDE, а отже, можуть читати вихідний код, отримувати доступ до збережених облікових даних, змінювати файли та ініціювати мережеві з'єднання . Шкідливий плагін — це не просто теоретичний ризик, а практичний «чорний хід» до всього, з чим працює розробник. Як зазначалося в одному з аналізів, ШІ-асистент, інтегрований в IDE, тепер є «високопривілейованою поверхнею для автоматизації», що знаходиться поруч із сирцевим кодом, секретами, SSH-ключами та хмарними обліковими даними .

Негайні дії для розробників

Безпосередній ризик для будь-якого розробника, який експериментував із ШІ-плагінами в останні місяці, полягає в тому, що його API-ключ уже перебуває в руках зловмисника. Aikido та інші експерти з безпеки сформулювали кілька ключових кроків для реагування.

1. Негайно змініть скомпрометовані API-ключі. Якщо ви встановлювали ШІ-плагін із JetBrains Marketplace у період з жовтня 2025 року по червень 2026 року і вводили туди API-ключ, вважайте його скомпрометованим. Згенеруйте новий ключ у панелі керування вашого ШІ-провайдера та негайно відкличте старий .

2. Проведіть аудит встановлених плагінів. Відкрийте «Налаштування» (Settings/Preferences) вашої IDE, перейдіть до розділу «Плагіни» (Plugins) та перегляньте список встановлених. Вимкніть або видаліть будь-який плагін, який ви точно не впізнаєте та якому не довіряєте. Після видалення перезавантажте IDE, щоб повністю видалити його код з пам'яті .

3. Перевірте середовище на залишкові зміни. Видалення плагіна не гарантує скасування всіх його дій. Плагіни можуть змінювати налаштування та файли IDE; перевірте, чи не залишилося неочікуваних конфігурацій або підозрілої мережевої активності після видалення .

4. Ретельно перевіряйте дозволи плагінів перед встановленням. Особливо обережно ставтеся до плагінів, які запитують широкий мережевий доступ без чіткого обґрунтування. Наприклад, інструменту для форматування коду не потрібно спілкуватися із зовнішніми серверами.

5. Використовуйте короткострокові ключі з обмеженим доступом. Якщо ваш ШІ-провайдер це підтримує, обмежуйте ключі конкретними проєктами чи сервісами та встановлюйте дату завершення дії. Активно відстежуйте білінгові панелі на предмет незвичних стрибків у використанні — це може бути першим сигналом про компрометацію.

6. Повідомляйте про підозрілі плагіни. Якщо ви помітили плагін із неочікуваною поведінкою, скористайтеся опцією «Поскаржитися на плагін» (Report Plugin) на його сторінці в JetBrains Marketplace, щоб сповістити команду безпеки платформи . Колективна пильність залишається одним із найефективніших засобів захисту від загроз у ланцюжку постачання.