DeafNews
// 1 CRITICAL · 2 ZERO-DAY · 4 CVE · 4 EXPLOIT · 1 ADVISORY NELLE ULTIME 24H
Cybersecurity

Plugin JetBrains rubano chiavi API AI: 70mila download

Published: Updated: By DeafSuite team 7 min read Cybersecurity
Condividi
WhatsApp Facebook X (Twitter) LinkedIn Reddit Telegram Email
Campagna coordinata di 15 plugin malevoli sul JetBrains Marketplace sottrae chiavi API AI a sviluppatori. Circa 70.000 installazioni, marketplace ancora attivo.

Una campagna coordinata di almeno quindici plugin malevoli sul JetBrains Marketplace sta sottraendo le chiavi API di servizi AI dagli IDE degli sviluppatori. Scoperta da Aikido Security e resa pubblica il 16 giugno 2026, l'operazione ha raccolto circa 70.000 installazioni distribuite su sette account vendor diversi. I plugin rimanevano disponibili per il download al momento della pubblicazione della notizia: JetBrains non aveva ancora risposto alla richiesta di commento di BleepingComputer.

Punti chiave
  • Almeno 15 plugin malevoli, pubblicati sotto 7 account vendor diversi, condividono lo stesso codice di furto delle chiavi API AI
  • La chiave viene esfiltrata verso il server hardcoded 39.107.60[.]51 via HTTP nel momento in cui l'utente clicca "Apply" nelle impostazioni
  • BleepingComputer ha analizzato indipendentemente il codice del plugin DeepSeek AI Assist, confermando la presenza del meccanismo malevolo
  • I plugin implementano un modello freemium parassitario: dopo il pagamento, il server fornisce una chiave API presumibilmente rubata a un altro utente

Come funziona il furto: il clic su "Apply" che espone la chiave

I plugin si presentano come strumenti legittimi di assistenza AI: AI coding assistants, code-review tools e Git utilities che integrano servizi di OpenAI, DeepSeek e SiliconFlow. La superficie è credibile, la funzionalità dichiarata viene erogata. Il meccanismo malevolo si innesca in un momento specifico del flusso di configurazione.

Quando lo sviluppatore inserisce la propria chiave API nelle impostazioni del plugin e preme il pulsante "Apply", la credenziale viene trasmessa al server hardcoded 39.107.60[.]51 tramite HTTP non cifrato. Questo accade indipendentemente dal fatto che la chiave sia valida, che il servizio sia attivo, che l'utente proceda con l'utilizzo del tool. Il furto è condizionato al solo gesto di conferma delle impostazioni.

L'analisi indipendente condotta da BleepingComputer sul plugin DeepSeek AI Assist (ID: ord.cp.code.ai.kit), il più scaricato con 27.727 download, ha confermato che l'ultima versione disponibile contiene ancora questo codice di esfiltrazione. La conferma non si basa sulla sola dichiarazione del ricercatore: è stata ottenuta scaricando e ispezionando direttamente il pacchetto distribuito tramite il marketplace ufficiale.

Il modello freemium parassitario: chiavi rubate ricircolate

"After a user pays a small fee through the donation wall built into the plugin, the server sends an API key back down to the client, and the plugin starts using that key for its model calls instead of your own, which is bizarre, since no legitimate operator would simply hand a user a working and unrestricted key to a paid AI provider"
— Aikido Security

Oltre al furto, i plugin implementano un modello di monetazione che Aikido Security definisce "paid tier". L'utente che non inserisce una propria chiave può pagare una piccola somma attraverso una donation wall integrata. A quel punto il server fornisce una chiave API funzionante, e il plugin inizia a utilizzarla al posto di quella personale. Il meccanismo solleva un problema di provenienza: una piattaforma legittima non distribuirebbe chiavi API di terzi operatori commerciali senza autorizzazione.

La fonte non verifica l'origine specifica di queste chiavi fornite agli utenti paganti. La tema di Aikido è che si tratti di credenziali precedentemente sottratte ad altri sviluppatori, ricircolate nel sistema. Questa ipotesi non è confermata da analisi tecniche indipendenti riportate nel dossier. Ciò che è documentato è la capacità del server di erogare chiavi funzionanti su richiesta, comportamento incompatibile con un modello di business legittimo basato su rivendita autorizzata.

Dimensioni e storia della campagna: da ottobre 2025 a giugno 2026

La campagna ha una timeline estesa. Il primo plugin è stato pubblicato nell'ottobre 2025, l'ultimo il 10 giugno 2026. La durata di otto mesi suggerisce persistenza operativa e, presumibilmente, profitto sufficiente a giustificare il mantenimento dell'infrastruttura. I quindici plugin condividono codice simile presentato come prodotti distinti, una tecnica di camuffamento che moltiplica la superficie di esposizione e frammenta il profilo di rilevamento.

I conteggi di installazione sono qualificati con cautela. Aikido Security riporta "close to 70,000" installazioni totali, specificando che i download count possono essere manipolati. I due plugin più diffusi sono DeepSeek AI Assist con 27.727 download e CodeGPT AI Assistant con 25.571. Questi numeri indicano una distribuzione concentrata: i primi due plugin da soli coprono circa il 76% del totale dichiarato. La fonte non specifica quante di queste installazioni siano attive, né quanti utenti abbiano effettivamente inserito chiavi API nelle impostazioni.

Perché è importante

Il dossier non documenta misure correttive specifiche da parte di JetBrains al momento della pubblicazione. La società non ha risposto alla richiesta di commento di BleepingComputer, e i plugin rimanevano accessibili tramite il marketplace ufficiale. Questo ritardo di risposta è un dato di fatto rilevante: l'intermediario di distribuzione non ha interrotto la disponibilità del codice malevolo verificato da una terza parte.

La fonte non specifica la natura esatta dei dati esfiltrati oltre alle chiavi API, né documenta vittime individuali di abuso finanziario. Non emerge un identificativo CVE associato agli artefatti analizzati. L'identità degli operatori dietro i sette account vendor rimane sconosciuta, così come la giurisdizione di origine del server di esfiltrazione.

Il caso posiziona il marketplace di estensioni come un vettore supply-chain sottovalutato. Gli IDE sono ambienti di lavoro ad alta intensità credenziale: gli sviluppatori vi inseriscono chiavi per servizi cloud, API di terze parti, token di autenticazione. Un plugin che "funziona" — che offre il servizio promesso — genera fiducia operativa che occulta il comportamento malevolo. La struttura stessa del modello, dove il codice malevolo è condizionale a un'azione utente specifica (il clic su "Apply"), riduce la probabilità di rilevamento tramite analisi statica superficiale.

Il pattern di ricircolazione delle chiavi, sebbene non verificato indipendentemente, introduce una forma di economia parassitaria: le vittime diventano fornitori non consenzienti di una risorsa a pagamento per ulteriori vittime. Questo meccanismo, sostenuto dalla fonte diretta della scoperta, estende l'impatto temporale dell'incidente anche dopo la rimozione individuale di un plugin compromesso.

Le informazioni sono basate sulla fonte citata e aggiornate al momento della pubblicazione.

Approfondimenti correlati

  • APT cinese UNC6508: un anno di spionaggio su server REDCap
  • Sfruttano l'algoritmo: così TikTok e Instagram amplificano il malware Vidar
  • GhostTree: l'attacco NTFS che blocca gli EDR

Fonti

Fonti e riferimenti
  1. bleepingcomputer.com
  2. checkmarx.com
  3. snyk.io
  4. aikido.dev
  5. thehackernews.com
  6. security.snyk.io
  7. stepsecurity.io