Cybersicherheit
Bösartige JetBrains-AI-Plugins stehlen API-Schlüssel: Was Engineering-Teams jetzt tun sollten
Der eigentliche Kern dieser JetBrains-Plugin-Geschichte ist nicht nur, dass Malware einen populären Marketplace erreicht hat. Entscheidend ist, dass der Angriff direkt auf Entwickler-Geheimnisse und das Vertrauen in AI-Workflows zielt. Laut Aikido Security haben sich mindestens 15 JetBrains-Marketplace-Plugins als nützliche AI-Coding-Assistenten ausgegeben und dabei im Hintergrund API-Schlüssel exfiltriert, die von Benutzern eingegeben wurden. Für Engineering-Teams, die AI-gestützte Entwicklung standardisieren, wird ein Komfort-Tool damit zu einem Kanal für Credential-Diebstahl direkt in der IDE.
Die gemeldeten Plugins boten genau die Funktionen, die Entwickler heute erwarten: AI-Chat, Code-Review, Commit-Messages, Fehlersuche und Hilfe bei Unit-Tests. Sie funktionierten wie versprochen – und genau das macht die Kampagne operativ gefährlich. Ein Tool, das nützlich wirkt, wird deutlich seltener hinterfragt als eines, das sofort auffällt. In diesem Fall sollen AI-Provider-Schlüssel im Klartext per HTTP an eine vom Angreifer kontrollierte Infrastruktur übertragen worden sein.
Warum das über einen einzelnen Plugin-Vorfall hinaus relevant ist
Entwicklungsumgebungen enthalten heute eine hohe Konzentration wertvoller Assets: Quellcode, Cloud-Credentials, Signing Keys, interne Architekturkontexte und kostenpflichtige AI-Zugänge. Angreifer brauchen nicht zuerst Domain-Admin-Rechte, wenn sie unauffällig Geheimnisse von der Workstation sammeln können, auf der reale Software entsteht. Ein bösartiges IDE-Plugin ist faktisch eine privilegierte Dependency mit UI-Vertrauen und direktem Zugriff auf Entwicklerverhalten.
- Das Ziel ist nicht nur die Browser-Sitzung, sondern die Entwickler-Workstation selbst.
- Gestohlene AI-Provider-Schlüssel bedeuten direkte Kostenrisiken und indirekte Datenexposition.
- Plugins, die normal funktionieren, werden von Benutzern seltener misstrauisch betrachtet oder gemeldet.
- Die Kampagne zeigt, dass Marketplace-Vertrauen keine Sicherheitsprüfung ersetzt.
Was die Forscher berichtet haben
Die Kampagne nutzte laut Bericht mehrere ähnlich gebaute Plugins, die DeepSeek und andere AI-Assistenten nachahmten. Benutzer sollten API-Schlüssel für Anbieter wie OpenAI, SiliconFlow oder DeepSeek eingeben, um die versprochene Funktion freizuschalten. Das Plugin übermittelte den Schlüssel dann an einen entfernten Server unter Kontrolle des Betreibers. Einige Plugins hatten zudem ein merkwürdiges Paid-Tier-Modell, bei dem der Server dem Client einen anderen funktionierenden Schlüssel zurückgab. Das deutet darauf hin, dass die Angreifer gestohlenen Zugang über mehrere Nutzer hinweg monetarisiert haben könnten.
Im selben Berichtszyklus wurden außerdem zwei Chrome-Erweiterungen erwähnt, die angeblich Gespräche aus gängigen AI-Chat-Diensten wie ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok und Meta AI abgreifen. Das ist wichtig, weil die eigentliche Lehre breiter ist als JetBrains: AI-Workflows in IDEs und Browsern sind heute eine realistische Sammelfläche für Geheimnisse, Prompts, Modellnutzung und Account-Metadaten.
Sofortige Prioritäten für Engineering- und Security-Teams
1) Prüfen, ob betroffene Plugins installiert wurden
Starten Sie mit Inventarisierung statt mit Annahmen. Prüfen Sie Plugin-Deployments auf verwalteten Engineering-Endpunkten, kontrollieren Sie Entwickler-Workstations auf kürzlich installierte AI-Assistenten und gleichen Sie diese mit den gemeldeten Paketnamen und Publishern ab. Beziehen Sie Contractor-Geräte, Testmaschinen und Proof-of-Concept-Umgebungen mit ein, denn dort taucht inoffizielles Tooling meist zuerst auf.
2) Exponierte AI-Provider-Schlüssel rotieren und Abrechnungsanomalien prüfen
Wenn ein Entwickler möglicherweise einen Provider-Schlüssel in eines dieser Plugins eingegeben hat, behandeln Sie das Secret als kompromittiert. Rotieren Sie es sofort, prüfen Sie die Nutzungshistorie auf unerklärlichen Token-Verbrauch und analysieren Sie, ob dasselbe Credential noch an anderer Stelle verwendet wurde. AI-Schlüssel werden oft schnell erstellt und schlecht verwaltet – genau deshalb sind sie leicht zu vergessen und teuer zu verlieren.
3) IDE-Plugins wie privilegierte Dependencies behandeln
Viele Organisationen prüfen Produktions-Dependencies genauer als Desktop-Erweiterungen. Diese Lücke ist nicht mehr vertretbar. IDE-Plugins können Projektkontext lesen, generierten Code beeinflussen und sensible Eingaben direkt vom Benutzer anfordern. Sie brauchen Allow-Lists, Ownership und regelmäßige Review-Zyklen – genauso wie Browser-Erweiterungen und Entwicklerpakete.
4) Die Prüfung auf browserbasierte AI-Tools ausweiten
Weil dieselbe Berichtswelle auch Chrome-Erweiterungen mit abgefangenen AI-Chats beschrieben hat, sollten Teams nicht bei JetBrains aufhören. Überprüfen Sie Browser-Extension-Policies auf Engineering-Endpunkten, entfernen Sie nicht freigegebene AI-Helfer und bestätigen Sie, dass sensible Architektur-, Kunden- oder Quellcode-Diskussionen nicht über telemetry-lastige Browser-Add-ons abfließen.
Praktische 24-Stunden-Checkliste
- Prüfen, ob gemeldete bösartige JetBrains-AI-Plugins auf Entwickler-Endpunkten vorhanden sind.
- AI-Provider-API-Schlüssel rotieren, die möglicherweise in untrusted Plugins eingegeben wurden.
- Provider-Abrechnung und Nutzungslogs auf verdächtige Aktivität oder plötzliche Spitzen prüfen.
- Nicht freigegebene IDE- und Browser-Erweiterungen von Engineering-Workstations entfernen.
- Eine Allowlist-Policy für Developer-Plugins und Extensions einführen oder verschärfen.
- Engineering-Teams informieren, dass AI-Helfer wie privilegierte Code-Dependencies und nicht wie harmlose Produktivitäts-Add-ons behandelt werden müssen.
| Kontrollbereich | Zentrale Frage | Empfohlene Maßnahme |
|---|---|---|
| Inventar | Welche Entwicklergeräte haben ungeprüfte AI-Plugins installiert? | JetBrains-Plugins und Browser-Erweiterungen auf verwalteten Endpunkten auditieren |
| Secrets | Wurden API-Schlüssel in diese Tools eingegeben? | Schlüssel sofort rotieren und Provider-Nutzungshistorie prüfen |
| Endpoint-Vertrauen | Installieren Entwickler hochprivilegierte Helfer ohne Review? | Allowlists und Ownership für IDE- und Browser-Add-ons einführen |
| Detection | Sehen wir verdächtigen Plugin-Traffic oder anomalen Token-Verbrauch? | Endpoint-Telemetrie, Proxy-Logs und AI-Billing-Anomalien korrelieren |
| Policy | Werden AI-Entwicklungstools wie andere privilegierte Software gesteuert? | Den gleichen Review-Standard wie für Dependencies, Agents und Extensions anwenden |
Fazit
Das ist keine Nischenstory über ein einzelnes IDE-Plugin. Es ist ein frühes Warnsignal dafür, dass sich Angreifer auf die reale Arbeitsfläche moderner Engineering-Teams fokussieren: AI-Assistenten, Browser-Erweiterungen und die Geheimnisse, die Entwickler dort eingeben. Wenn ein Unternehmen sichere AI-Einführung ernst meint, müssen Plugin-Governance, Schlüsselrotation und Vertrauensgrenzen auf Workstations genauso schnell reifen wie Produktivitäts-Tooling.