JetBrains 恶意插件大规模窃取开发者 AI API 密钥

时间线与规模

Aikido 的分析显示，这些恶意插件最早出现在 2025 年 10 月，最新的版本则于 2026 年 6 月刚刚上线 。这意味着在被发现之前，该攻击行动已在官方市场中潜伏了超过八个月。

截至 Aikido 披露时，这 15 款插件通过七个欺诈性供应商账户累计获得了约 7 万次安装 。如此规模表明，这很可能是首个成功渗透 JetBrains 市场的同类协同恶意软件行动 。

JetBrains 市场事件并非孤立发生。与此同期，另一伙威胁行为者构建了一个包含超过 88 个虚假安装网站的网络，冒充 Claude Code、Cline 和 JetBrains 等工具，利用谷歌广告将开发者引导至窃取凭证的恶意软件面前 。两起行动结合在一起，释放出一个明确信号：攻击者正用多管齐下、精心策划的方式，瞄准 AI 开发者的机密信息。

针对 AI 凭证的广泛攻击

JetBrains 市场的这次攻击，是波及整个软件供应链的令人担忧趋势的一环。大语言模型的 API 密钥因其能带来的访问权限，已成为攻击者的首要目标。一个遭泄露的密钥可被用来产生巨额推理账单、访问私有模型和内部数据，或者以此为跳板渗透相连的云基础设施。

2026 年早些时候，npm 包 codexui-android（每周下载量约 2.8 万次）被发现会悄悄窃取永不过期的 OpenAI OAuth 刷新令牌 。攻击者将窃取行为伪装成例行 Sentry 遥测流量。2025 年，另一起攻击行动入侵了 141 个 Mastra npm 包，在安装时注入恶意代码，进一步暴露了开发生态系统的脆弱性 。

IDE 插件则代表着高风险目标。在 JetBrains 环境中运行的插件对 IDE 进程本身拥有完全访问权限，意味着它们可以读取源代码、访问存储的凭证、修改文件并发起网络连接 。一个恶意插件不仅仅是理论上的风险，而是一个实际存在且能触碰到开发者一切的后门。正如一篇事后分析所指出的，嵌入 IDE 的 AI 助手已变成一个紧邻源代码、密钥、SSH 密钥和云凭证的高权限自动化交互面 。

开发者现在应该怎么做

对于最近几个月试用过 AI 助手插件的开发者而言，最直接的隐患是，你的 API 密钥可能已落入攻击者手中。Aikido 及其他安全机构将应急措施归纳为以下几个关键步骤：

1. 立即轮换已暴露的 API 密钥。 如果你在 2025 年 10 月至 2026 年 6 月间安装过来自 JetBrains 市场的 AI 助手插件并输入过 API 密钥，请假设该密钥已泄露。务必立即前往你的 AI 服务商后台生成新密钥，并注销旧密钥 。

2. 审查已安装的插件。 打开 IDE 的“设置/首选项”，导航到“插件”并查看“已安装”列表。对任何你不明确认识并信任的插件，应予以禁用或卸载。移除后重启 IDE，确保其代码从内存中彻底清除 。

3. 检查开发环境中是否存在残留变更。 卸载插件并不能保证其所有影响都已撤销。插件可以修改 IDE 的设置和文件；请检查在移除后是否仍有不符合预期的配置或网络行为 。

4. 安装前仔细审视插件权限。 对在无明确正当理由的情况下请求广泛的网络访问权限的插件，要格外警惕。例如，一个代码格式化工具没有理由需要与外部服务器通信。

5. 采用短期、有范围限制的 API 密钥。 在其 AI 服务商支持的前提下，应将密钥限制用于特定项目或服务，并设置过期时间。并主动监控用量账单是否有异常高峰，这可能是凭据被滥用的早期预警。

6. 举报可疑插件。 若发现行为异常的插件，可使用其在 JetBrains 市场页面上的“举报插件”选项，通知平台安全团队 。众人的共同警惕仍然是对付供应链威胁最有效的防线之一。