Schadsoftware auf JetBrains Marketplace

Bösartige Plugins stehlen KI-API-Schlüssel von Entwicklern

API
LinkedInRedditWhatsApp

Mindestens 15 Plugins im JetBrains Marketplace exfiltrieren heimlich API-Schlüssel für KI-Dienste. Rund 70.000 Installationen sind betroffen.

Sicherheitsforscher von Aikido Security haben eine koordinierte Kampagne auf dem JetBrains Marketplace entdeckt, bei der mindestens 15 schädliche IDE-Plugins zum Datendiebstahl eingesetzt werden. Die betroffenen Plugins tarnen sich als KI-Coding-Assistenten, Code-Review-Werkzeuge oder Git-Utilities, die auf bekannte Modelle wie OpenAI, DeepSeek oder SiliconFlow zugreifen. Die erste Veröffentlichung dieser Plugins erfolgte im Oktober 2025, wobei neue Varianten noch bis zum 10. Juni 2026 hinzugefügt wurden. Aikido warnt vor der gemeinsamen Infrastruktur: „Wir haben eine koordinierte Malware-Kampagne auf dem JetBrains Marketplace entdeckt.“

Anzeige

Diebstahl von Zugangsdaten bei Konfiguration

Obwohl die Plugins die beworbenen Funktionen für die Entwickler ausführen, enthalten sie versteckten Schadcode. Sobald ein Anwender in den Plugin-Einstellungen einen persönlichen KI-API-Schlüssel einträgt und auf Anwenden klickt, wird dieser Schlüssel im Klartext über eine unverschlüsselte HTTP-Verbindung an einen externen Server mit der IP-Adresse 39.107.60.51 übertragen.

Die Analyse der Plugins bestätigt zudem eine Funktionalität, die es dem Steuerungsserver ermöglicht, API-Schlüssel an zahlende Nutzer zurückzugeben. Es besteht der Verdacht, dass die Betreiber die von kostenlosen Nutzern gestohlenen Schlüssel sammeln und diese dann gegen eine Gebühr an andere Nutzer weiterverkaufen.

Betroffene Plugins und Verbreitung

Die Plugins verteilen sich auf sieben verschiedene Anbieterkonten. Trotz der hohen Downloadzahlen, die laut Forschern manipuliert sein können, sind die Plugins unter anderem unter folgenden Bezeichnungen im Umlauf:

Anzeige
  • DeepSeek AI Assist
  • CodeGPT AI Assistant
  • DeepSeek Junit Test
  • DeepSeek Git Commit
  • DeepSeek FindBugs
  • DeepSeek AI Chat
  • DeepSeek Dev AI
  • DeepSeek AI Coding
  • AI FindBugs
  • AI Git Commitor
  • AI Coder Review
  • DeepSeek Coder AI
  • AI Coder Assistant
  • DeepSeek Code Review
  • Coding Simple Tool

Anwender, die eines dieser Plugins installiert haben, sollten die entsprechenden API-Schlüssel bei ihren jeweiligen KI-Anbietern umgehend sperren und neue Zugangsdaten generieren. Eine Analyse des Plugins DeepSeek AI Assist bestätigte den Verbleib des Schadcodes im Plugin-Archiv zum Zeitpunkt der Veröffentlichung.

(red)


Anzeige
Kristen Michal
18. Juni 2026
Estland plant digitale Identitäten für KI-Agenten
API
18. Juni 2026
Bösartige Plugins stehlen KI-API-Schlüssel von Entwicklern
Gehaltsabrechnung
18. Juni 2026
Unternehmen zahlen aus Angst vor Strafen zu hohe Löhne
Tim Cook
18. Juni 2026
Höhere Preise bei Apple: Cook sieht keine Alternative

Weitere Artikel

Gefälschter Microsoft-Sicherheitsalarm: Nordkoreanische Hacker nutzen NarwhalRAT
Microsoft Teams als Tarnung: Ransomware-Bande versteckt Datenverkehr
Rekord-Datenleck: 24 Milliarden Zugangsdaten offen im Netz
Über 400 Arch-Linux-Pakete im AUR manipuliert
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.