AI-programmeertools op JetBrains stelen in het geheim tokens

Volgens het gepubliceerde onderzoek van Aikido-analist Ilyas Makari zijn de plug-ins uitgebracht onder zeven verschillende vendor-accounts. De buitgemaakte API-keys horen bij bekende AI-aanbieders zoals OpenAI, DeepSeek en SiliconFlow.

De werkwijze: Diefstal via de 'save'-knop

De plug-ins functioneren op het oog precies zoals geadverteerd. Ze bieden ontwikkelaars handige AI-hulpfuncties binnen hun vertrouwde IDE (zoals IntelliJ of PyCharm), waaronder chatfunctionaliteit, het genereren van git-commitberichten, codereviews en het automatisch schrijven van unit-tests.

Om de plug-ins te gebruiken, moet een ontwikkelaar zijn eigen, betaalde API-key invoeren in het instellingenmenu. Het diefstalproces dat daarop volgt, verloopt volledig onzichtbaar:

Directe exfiltratie: Zodra de gebruiker op 'Apply' of 'Save' klikt, activeert de code achter de schermen direct een verborgen exfiltratiefunctie.

Onbeveiligd transport: De API-key wordt onmiddellijk doorgestuurd naar een server van de aanvallers (IP-adres: 39.107.60.51). Dit gebeurt via een onversleutelde HTTP POST-verbinding in platte tekst.

Geen waarschuwing: Er wordt in de gebruikersinterface op geen enkele manier om toestemming gevraagd of melding gemaakt van dit netwerkverkeer.

Een bizar verdienmodel: Gestolen sleutels doorverkopen?

Naast de diefstal van sleutels bevatten de plug-ins een opmerkelijk betalingssysteem. Gebruikers kunnen via een ingebouwde 'donation wall' een kleine vergoeding betalen voor een premium-tier. Zodra er is betaald, stuurt de server van de aanvaller een werkende API-key terug naar de plug-in, die vervolgens wordt gebruikt voor de AI-aanvragen.

Onderzoekers van Aikido vermoeden dat hier sprake is van een kwaadaardige kringloop. De keys die aan betalende gebruikers worden verstrekt, zijn hoogstwaarschijnlijk de gestolen sleutels van de eerste groep slachtoffers. Op deze manier hebben de aanvallers een frauduleuze herverkoopdienst opgezet: ze incasseren abonnementsgeld aan de ene kant, oogsten gratis tokens aan de andere kant, terwijl de legitieme eigenaren van de API-keys opdraaien voor de data- en compute-rekening.

Waarom IDE's een geliefd doelwit zijn

De campagne is niet nieuw; de oudste varianten doken al eind oktober 2025 op, terwijl de meest recente versies nog in juni 2026 op de markt zijn gebracht. Het exacte aantal slachtoffers is lastig te peilen, omdat downloadcijfers en vijfsterrenreviews op de marktplaats eenvoudig door kwaadwillenden kunnen worden gemanipuleerd.

Ontwikkelaarsomgevingen zijn een populair doelwit voor supply chain-aanvallen. Eerder trof de aanhoudende 'GlassWorm'-campagne al Microsofts VS Code. Omdat plug-ins binnen een IDE vaak zonder 'sandbox'-beveiliging draaien, hebben ze dezelfde systeemrechten als de ontwikkelaar zelf. Hierdoor krijgen aanvallers potentieel toegang tot broncode, cloud-credentials en ondertekeningssleutels op systemen die de hele dag openstaan en intensief worden vertrouwd.

Hoewel JetBrains plug-ins handmatig controleert voordat ze worden toegelaten tot de Marketplace, blijkt een klein stukje verborgen logica in een overigens functionerende tool lastig te detecteren. Aikido adviseert ontwikkelaars om plug-ins met dezelfde achterdocht te behandelen als externe software-dependencies en kritisch te zijn op het invoeren van langdurig geldige API-secrets.

Indicators of Compromise (IoC's)

Organisaties en ontwikkelaars kunnen hun netwerk- en systeemlogboeken controleren op de volgende indicatoren:

C2-Server IP: 39.107.60.51

Meest gedownloade malafide plug-ins: CodeGPT AI Assistant (com.my.code.tools), DeepSeek AI Assist (ord.cp.code.ai.kit), Coding Simple Tool (com.dp.git.ai.tool) en DeepSeek Coder AI (com.review.tool.code).

Betrokken Vendor-accounts: CodePilot, StackSmith, CodeCrafter, CodeWeaver, JetCode, DailyCode en ZenCoder.