Lộ diện chiến dịch tấn công chuỗi cung ứng: Plugin JetBrains độc hại đánh cắp API Key AI của gần 70.000 lập trình viên

Ngày 16 tháng 6 năm 2026, hãng bảo mật Aikido Security đã phơi bày một chiến dịch tấn công mạng có tổ chức, âm thầm rút ruột thông tin xác thực của các dịch vụ AI ngay từ chính môi trường phát triển (IDE) của lập trình viên. Những kẻ tấn công đã xuất bản ít nhất 15 plugin độc hại lên kho chính thức JetBrains Marketplace, ngụy trang dưới dạng các trợ lý lập trình AI hữu ích, công cụ đánh giá mã nguồn và tiện ích Git. Tổng cộng, các plugin này đã được cài đặt gần 70.000 lần trước khi chiến dịch bị phát giác .

Đây là một bước leo thang đáng kể trong các cuộc tấn công chuỗi cung ứng. Không giống như những gói phần mềm độc hại riêng lẻ, đây là một nỗ lực có hệ thống trải dài trên bảy tài khoản nhà cung cấp khác nhau, tất cả đều dùng chung một mã nguồn đánh cắp thông tin. Mục tiêu của chúng là một trong những tài sản giá trị nhất trong bộ công cụ của lập trình viên hiện đại: API Key (chìa khóa giao diện lập trình ứng dụng) của các nền tảng AI như OpenAI, DeepSeek và SiliconFlow.

Cách thức tấn công diễn ra

Vector lây nhiễm hoàn toàn dựa vào kỹ thuật tấn công phi kỹ thuật (social engineering) trong một hệ sinh thái đáng tin cậy. Khi các lập trình viên duyệt JetBrains Marketplace để tìm công cụ tăng năng suất hỗ trợ AI, họ sẽ bắt gặp những plugin này, vốn đã được thổi phồng bằng các đánh giá năm sao giả mạo để trông có vẻ hợp pháp . Sau khi cài đặt, plugin vẫn hoạt động gần như đúng với quảng cáo, cung cấp các tính năng như trò chuyện, tạo tin nhắn commit, hay viết kiểm thử đơn vị, nhằm che giấu hành vi độc hại .

Cơ chế đánh cắp cực kỳ đơn giản nhưng hiệu quả đến tàn nhẫn. Một lập trình viên sẽ dán API Key của nhà cung cấp AI vào bảng cài đặt của plugin và nhấn "Apply" (Áp dụng). Ngay tại khoảnh khắc đó, chìa khóa đã ngay lập tức bị gửi đi dưới dạng văn bản thuần túy đến một máy chủ do kẻ tấn công kiểm soát và được mã hóa cứng sẵn trong plugin . Quá trình đánh cắp diễn ra trong im lặng, plugin vẫn tiếp tục hoạt động, không để lại bất kỳ dấu hiệu nào cho thấy thông tin xác thực đã bị đánh cắp.

Một chi tiết đặc biệt trắng trợn được Aikido ghi nhận: một số biến thể của phần mềm độc hại thậm chí còn có cả gói trả phí. Nạn nhân có thể trả một khoản phí nhỏ để nhận lại một API Key "hoạt động", thứ rất có thể đã bị đánh cắp từ một lập trình viên khác .

Dòng thời gian và quy mô

Theo phân tích của Aikido, plugin độc hại đầu tiên xuất hiện từ tháng 10 năm 2025, và những plugin mới nhất được xuất bản gần đây nhất là vào tháng 6 năm 2026 . Điều này có nghĩa là chiến dịch đã hoành hành trong hơn 8 tháng trên kho chính thức trước khi bị phát hiện.

Vào thời điểm Aikido công bố thông tin, 15 plugin này đã tích lũy được khoảng 70.000 lượt cài đặt trên bảy tài khoản gian lận . Quy mô của chiến dịch cho thấy đây có thể là chiến dịch tấn công mạng có tổ chức đầu tiên với quy mô lớn như vậy thâm nhập thành công vào JetBrains Marketplace .

Sự cố JetBrains không diễn ra đơn lẻ. Nó trùng hợp với một chiến dịch song song, trong đó các tác nhân đe dọa đã tạo ra một mạng lưới hơn 88 trang web cài đặt giả mạo, mạo danh Claude Code, Cline và JetBrains, sử dụng Google Ads để dẫn dụ lập trình viên đến với phần mềm độc hại đánh cắp thông tin . Cùng nhau, những chiến dịch này cho thấy một nỗ lực có chủ đích và đa dạng nhằm vào bí mật của các lập trình viên AI.

Cuộc tấn công quy mô lớn nhằm vào thông tin xác thực AI

Vụ tấn công JetBrains Marketplace là một phần của xu hướng đáng lo ngại trong toàn bộ chuỗi cung ứng phần mềm. API Key cho các mô hình ngôn ngữ lớn đã trở thành mục tiêu hàng đầu của kẻ tấn công vì những quyền truy cập mà chúng mang lại. Một chìa khóa bị xâm phạm có thể được sử dụng để tạo ra các hóa đơn tính toán khổng lồ, truy cập vào các mô hình nội bộ và dữ liệu riêng tư, hoặc xâm nhập vào hạ tầng đám mây liên kết.

Đầu năm 2026, gói npm có tên codexui-android, với khoảng 28.000 lượt tải xuống hàng tuần, đã bị phát hiện âm thầm thu thập token làm mới OAuth không bao giờ hết hạn của OpenAI . Kẻ tấn công đã ngụy trang hành vi đánh cắp dưới dạng lưu lượng telemetry thông thường của Sentry. Trước đó vào năm 2025, một chiến dịch khác đã xâm phạm 141 gói Mastra npm để tiêm mã độc ngay tại thời điểm cài đặt, càng chứng minh sự mong manh của các hệ sinh thái phát triển .

Các plugin IDE là một mục tiêu đặc biệt có giá trị. Plugin trong môi trường JetBrains chạy với toàn quyền truy cập vào tiến trình IDE, nghĩa là chúng có thể đọc mã nguồn, truy cập thông tin đăng nhập được lưu trữ, sửa đổi tệp tin và khởi tạo các kết nối mạng . Một plugin độc hại không chỉ là rủi ro lý thuyết, mà là một cửa hậu thực tế cho mọi thứ mà lập trình viên chạm vào. Như một bản phân tích sau sự cố đã lưu ý, một trợ lý AI tích hợp vào IDE giờ đây là một "bề mặt tự động hóa với đặc quyền cao" nằm ngay cạnh mã nguồn, bí mật, khóa SSH và thông tin xác thực đám mây .

Lập trình viên cần làm gì ngay bây giờ

Rủi ro trước mắt cho bất kỳ lập trình viên nào đã thử nghiệm các plugin trợ lý AI trong những tháng gần đây là API Key của họ có thể đã nằm trong tay kẻ tấn công. Aikido và các nguồn bảo mật khác đã tổng kết lại các bước ứng phó thiết yếu.

1. Vô hiệu hóa ngay các API Key đã bị lộ. Nếu bạn đã cài đặt bất kỳ plugin trợ lý AI nào từ JetBrains Marketplace trong khoảng thời gian từ tháng 10 năm 2025 đến tháng 6 năm 2026 và đã nhập API Key, hãy mặc định rằng nó đã bị xâm phạm. Tạo khóa mới từ bảng điều khiển của nhà cung cấp AI và thu hồi khóa cũ ngay lập tức .

2. Rà soát toàn bộ plugin đã cài đặt. Mở Settings/Preferences của IDE, điều hướng đến Plugins, và xem lại danh sách đã cài đặt. Vô hiệu hóa hoặc gỡ cài đặt bất kỳ plugin nào bạn không thực sự nhận ra và tin tưởng. Sau khi gỡ bỏ, hãy khởi động lại IDE để đảm bảo mã của nó được xóa hoàn toàn khỏi bộ nhớ .

3. Kiểm tra môi trường để tìm các thay đổi còn sót lại. Việc gỡ cài đặt một plugin không đảm bảo rằng mọi tác động của nó đều bị loại bỏ. Plugin có thể sửa đổi các tệp và cài đặt của IDE; hãy kiểm tra mọi cấu hình hoặc hành vi mạng bất thường vẫn tồn tại sau khi gỡ bỏ .

4. Xem xét kỹ lưỡng các quyền của plugin trước khi cài đặt. Hãy đặc biệt cảnh giác với những plugin yêu cầu quyền truy cập mạng rộng mà không có lý do rõ ràng. Ví dụ, một công cụ định dạng mã nguồn không cần phải giao tiếp với các máy chủ bên ngoài.

5. Sử dụng API Key có thời hạn ngắn và giới hạn phạm vi. Nếu nhà cung cấp AI của bạn hỗ trợ, hãy giới hạn khóa cho các dự án hoặc dịch vụ cụ thể và đặt ngày hết hạn. Chủ động theo dõi bảng điều khiển thanh toán để phát hiện các mức tăng đột biến bất thường, một dấu hiệu cảnh báo sớm của việc lạm dụng thông tin xác thực.

6. Báo cáo các plugin đáng ngờ. Nếu gặp một plugin hoạt động bất thường, hãy sử dụng tùy chọn "Report Plugin" trên trang JetBrains Marketplace của nó để thông báo cho đội ngũ bảo mật của nền tảng . Sự cảnh giác tập thể vẫn là một trong những biện pháp phòng thủ hiệu quả nhất trước các mối đe dọa chuỗi cung ứng.