Cybersecurity-onderzoekers hebben een ‘gecoördineerde malwarecampagne’ op de JetBrains Marketplace gemarkeerd, die niet minder dan 15 kwaadaardige plug-ins heeft gepubliceerd die in staat zijn de sleutels van kunstmatige intelligentie (AI)-providers te exfiltreren.
“Elke plug-in doet zich voor als een AI-coderingsassistent gebouwd op DeepSeek en andere grote taalmodellen en biedt chat-, commit-berichten, codebeoordeling, het vinden van bugs en unit-tests”, aldus Aikido Security-onderzoeker Ilyas Makari. “Ze functioneren precies zoals geadverteerd. De API-sleutel van de AI-provider die u invoert, wordt echter geëxfiltreerd naar een server die wordt beheerd door de aanvaller.”
De activiteit zou al sinds eind oktober 2025 aan de gang zijn, met nieuwe plug-ins die pas op 10 juni 2026 zijn uitgebracht. Twee van de plug-ins, CodeGPT AI Assistant en DeepSeek AI Assist, hebben elk meer dan 25.000 downloads, hoewel het niet duidelijk is of de aantallen authentiek zijn of dat ze zijn opgeblazen om hun populariteit te vervalsen.
De volledige lijst met plug-ins vindt u hieronder –
- DeepSeek Junit-test (org.sm.yms.toolkit)
- DeepSeek Git Commit (com.json.simple.kit)
- DeepSeek FindBugs (org.bug.find.tools)
- DeepSeek AI-chat (org.translate.ai.simple)
- DeepSeek Dev AI (com.yy.test.ai.simple)
- DeepSeek AI-codering (com.dev.ai.toolkit)
- AI FindBugs (com.json.view.simple)
- AI Git Commitor (com.my.git.ai.kit)
- AI Coder-recensie (org.check.ai.ds)
- DeepSeek Coder AI (com.review.tool.code)
- AI Coder-assistent (org.code.assist.dev.tool)
- DeepSeek-codebeoordeling (com.coder.ai.dpt)
- CodeGPT AI-assistent (com.my.code.tools)
- DeepSeek AI-assistentie (ord.cp.code.ai.kit)
- Eenvoudige tool voor coderen (com.dp.git.ai.tool)
Aikido Security zei dat alle vijftien plug-ins een vergelijkbare codebasis delen, waardoor gebruikers het instellingenpaneel moeten openen en een API-sleutel moeten invoeren voor een AI zoals OpenAI, SiliconFlow of DeepSeek om de beloofde functionaliteit uit te voeren.
Hoewel de plug-ins werken zoals ze bedoeld zijn, blijkt dat ze de mogelijkheid hebben om de opgegeven API-sleutel heimelijk over te hevelen naar een externe server (“39.107.60(.)51”) onder controle van de aanvaller via een HTTP-verzoek in leesbare tekst.
“De plug-ins hebben ook een betaald niveau”, aldus het bedrijf. “Nadat een gebruiker een kleine vergoeding heeft betaald via de donatiemuur die in de plug-in is ingebouwd, stuurt de server een API-sleutel terug naar de client, en de plug-in begint die sleutel te gebruiken voor zijn modelaanroepen in plaats van die van jou. Dat is bizar, aangezien geen enkele legitieme operator een gebruiker eenvoudigweg een werkende en onbeperkte sleutel aan een betaalde AI-provider zou overhandigen.”
Dit heeft de mogelijkheid doen ontstaan dat de exploitanten achter de campagne de gestolen API-sleutels van de AI-provider waarschijnlijk delen met andere bedreigingsactoren als onderdeel van een illegaal systeem voor het genereren van inkomsten, waardoor het feitelijk wordt omgezet in een dienst die betalende gebruikers toegang geeft tot de AI-provider van het slachtoffer.
“De operator verzamelt aan de ene kant geld en aan de andere kant gratis inloggegevens, terwijl de echte sleutelbezitters de rekening betalen”, voegde Makari eraan toe.
De campagne is een verder bewijs van hoe bedreigingsactoren zich steeds meer richten op ontwikkelaarsomgevingen via het open-source-ecosysteem, dat een lucratief doelwit is geworden vanwege het feit dat ze broncode, cloudreferenties, ondertekeningssleutels en API-sleutels hosten voor betaalde AI-diensten die kunnen worden doorverkocht voor LLMjacking-programma’s.
“Behandel een plug-in op dezelfde manier als je elke afhankelijkheid zou behandelen die met jouw privileges te maken heeft, en wees voorzichtig met het plakken van langlevende geheimen in tools die je niet hebt doorgelicht”, aldus Aikido Security.
Schadelijke Chrome-extensies stelen AI-gesprekken
De ontwikkeling valt samen met de ontdekking van twee advertentieblokkeringsextensies voor Google Chrome die zijn betrapt op het vastleggen van gesprekken van gebruikers met AI-chatbots zoals OpenAI ChatGPT, Anthropic Claude, Google Gemini, Microsoft Copilot, Perplexity, DeepSeek, xAI Grok en Meta AI. De dataverzamelingsoperatie heeft de codenaam PromptSnatcher gekregen van onderzoeker Jean-Marie R.
De namen van de extensies, die nog steeds beschikbaar zijn in de Chrome Web Store, zijn als volgt:
- Slimme adblocker (ID: iojpcjjdfhlcbgjnpngcmaojmlokmeii) – 90.000 gebruikers (gepubliceerd in oktober 2022)
- Adblock voor browser (ID: jcbjcocinigpbgfpnhlpagidbmlngnnn) – 10.000 gebruikers (gepubliceerd in augustus 2023)
“Hoewel ze worden gepresenteerd als advertentieblokkers, bevatten de extensies een op maat gemaakte onderscheppingsengine die niet-openbare gesprekken, modelgebruik en metagegevens op accountniveau registreert van elk groot AI-platform (ChatGPT, Claude, Gemini en anderen)”, aldus de onderzoeker. “De operatie maakt gebruik van legitieme openbare filterlijsten (EasyList, IDCAC) als functionele dekking, waardoor een echt hulpprogramma voor het blokkeren van advertenties wordt geboden terwijl een niet openbaar gemaakt telemetriekanaal wordt uitgevoerd.”
Het feit dat de twee extensies al enkele jaren bestaan, geeft aan dat de AI-gerelateerde updates geïntroduceerd zijn in de vorm van software-updates.
Deze inspanningen maken deel uit van een aanvalstechniek genaamd Prompt Poaching. De afgelopen maanden is waargenomen dat zowel legitieme als kwaadaardige browserextensies deze methode gebruiken om heimelijk AI-chats vast te leggen. Wat onduidelijk is, is of deze praktijken in strijd zijn met het beleid van Google voor browserextensies.
“De extensies onderscheppen de volledige AI-gespreksgeschiedenis, het modelgebruik en het abonnementsniveau van acht platforms en verzenden deze gegevens naar een door de operator gecontroleerde infrastructuur zonder kennisgeving aan de gebruiker, afgezien van een generieke ‘Enhanced Protection’-toestemmingsreeks”, merkte de onderzoeker op.
