JetBrains-Plugin-Angriff deckt die neue Schwachstelle in Entwicklertools auf: AI-API-Schlüssel |


Entwickler haben ihre KI-Zugangsdaten nicht durch eine Phishing-E-Mail verloren. Sie haben sie durch ein Plugin verloren, das sich in dem Software befindet, dem sie am meisten vertrauen: der IDE, die auf ihrem Laptop läuft.

JetBrains gab am 16. Juni 2026 bekannt, dass es Berichte über 15 Market-Plugins von Drittanbietern erhalten hatte, die entwickelt wurden, um API-Schlüssel von KI-Anbietern zu stehlen. Das Unternehmen entfernte alle 15 Plugins, sperrte die dahinter stehenden Herausgeberkonten und deaktivierte die betroffenen Plugins aus der Ferne in installierten IDEs. JetBrains gab an, dass auf den internen Quellcode, die Entwicklungsumgebungen und die Unternehmensinfrastruktur nicht zugegriffen wurde.

Wie der Angriff funktionierte

Die Plugins funktionierten wie angekündigt. Jedes bot einen echten KI-Dienstprogramm, das sich um Instruments wie DeepSeek und generische KI-Codierungsassistenten drehte, und die Entwickler konfigurierten sie auf die gleiche Weise, wie sie jede IDE-Erweiterung konfigurieren: durch Einfügen eines API-Schlüssels in ein Einstellungsfeld.

Sobald ein Benutzer auf „Übernehmen“ klickte, erfasste das Plugin den Schlüssel und sendete ihn als Klartext-JSON über unverschlüsseltes HTTP an eine fest codierte Befehls- und Kontrolladresse, so JetBrains und unabhängige Forscher. Mehrere der Plugins installierten einen JVM-weiten X509TrustManager, eine Komponente, die TLS-Warnungen unterdrückt und die Wahrscheinlichkeit verringert, dass ein Entwickler etwas Falsches bemerkt. Zu den genannten Anbietern, die in den Sanierungsleitlinien von JetBrains betroffen sind, gehören OpenAI, DeepSeek und SiliconFlow.

Aikido Safety, das die Kampagne zuerst identifizierte, berichtete, dass die 15 Plugins zusammen quick 70.000 Mal installiert wurden, eine Zahl, die JetBrains nicht unabhängig bestätigt hat. In einer separaten Analyse von StepSecurity wurde die Gesamtzahl noch weiter aufgeschlüsselt: Auf die beiden am häufigsten heruntergeladenen Plugins, DeepSeek AI Help und CodeGPT AI Assistant, entfielen 27.727 bzw. 25.571 Downloads. Aikido sagt, dass die früheste Model der Kampagne Ende Oktober 2025 erschien, ein Zeitplan, den der Beitrag von JetBrains nicht unabhängig bestätigt, wobei neue Einträge erst am 9. Juni 2026 erschienen.

Warum die Geschichte über JetBrains hinausgeht

Der interessante Teil des Vorfalls ist nicht die Malware-Mechanik. Dies ist das, was der Angriff darüber enthüllt, wo smart Anmeldeinformationen jetzt in Software program-Groups gespeichert sind.

IDE-Plugins befinden sich von Natur aus in einer Umgebung mit hoher Vertrauenswürdigkeit. Sie können Projektkontext, Konfigurationsdateien, Entwickler-Workflows und zunehmend auch die API-Schlüssel sehen, die eine Codierungsumgebung mit einem kostenpflichtigen KI-Dienst verbinden. Eine Kalender-App auf einem Telefon erhält nicht die gleiche Zugriffsebene. Ein Plugin, das verspricht, die KI-Codierung zu beschleunigen, tut dies normalerweise, da Nutzen und Zugriff tendenziell zusammenwachsen.

Meine Meinung: Die Einführung der KI-Codierung hat die Schlüsselverwaltung auf eine Ebene verlagert, die die meisten Sicherheitsteams immer noch als Produktivitätsentscheidung und nicht als Infrastrukturentscheidung betrachten. Die Entwickler gingen vernünftigerweise davon aus, dass ein Market-Eintrag eine grundlegende Sicherheitsüberprüfung implizierte. Der Bericht von JetBrains untergräbt die Annahme direkt.

Die Vertrauenslücke im Marktplatz

JetBrains hat bestätigt, dass sein Plugin-Verifier in der Vergangenheit die Kompatibilität und API-Nutzung überprüft hat, und nicht die Artwork von Verhaltensdatenflussanalyse, die erforderlich ist, um ein Plugin zu erwischen, das stillschweigend mit einem gestohlenen Schlüssel nach Hause anruft. Ein Plugin kann nur dokumentierte, zulässige APIs aufrufen und sich dennoch böswillig verhalten, sobald ein Geheimnis durch das Plugin gelangt. Kompatibilitätsprüfungen wurden nie entwickelt, um das Muster zu erkennen, weil niemand sie dafür konzipiert hat.

JetBrains sagt, dass es jetzt Aufnahmeregeln hinzufügt, um rohe HTTP- und IP-Endpunkte, unbefugte TLS-Schwächung und verdächtige Schlüsselverarbeitungsmuster zu kennzeichnen, bevor ein Plugin den Marktplatz erreicht. Der Repair zielt auf eine echte Lücke ab, obwohl er nach einer offenbar etwa acht Monate lang aktiven Kampagne eintrifft.

Was kommt als nächstes für betroffene Groups?

Sicherheitsteams, die auf einen Vorfall mit Zugangsdatendiebstahl reagieren, müssen eine Reihe enger Prioritäten setzen. Die erste Priorität besteht darin, alle in eines der betroffenen Plugins eingegebenen Schlüssel zu rotieren, gefolgt von einer Überprüfung der Nutzungsprotokolle des KI-Anbieters auf ungewöhnliche Aktivitäten. Groups können auch die bekannte Command-and-Management-Adresse 39.107.60.51 blockieren und so einen offensichtlichen Weg zurück zu kompromittierten Konten entfernen. Begrenzte Schlüssel, strenge Ausgabenobergrenzen und der Zugriff mit den geringsten Privilegien reduzieren den Angriffsradius, wenn sich das nächste Mal herausstellt, dass ein Plugin und keine Phishing-E-Mail der Einstiegspunkt ist.

JetBrains hat betroffenen Benutzern geraten, die Dashboards ihrer KI-Anbieter auf verdächtige Ausgaben oder ungewöhnliche Nutzung zu überprüfen. Die Leitlinien bestätigen einen empfohlenen Sanierungsschritt, keinen bestätigten Verlust. Zum Zeitpunkt der Veröffentlichung sind keine bestätigten Dollarverluste oder namentlich genannten Zuschreibungen öffentlich aufgetaucht, und der Entwurf geht auch nicht davon aus, dass beides existiert.

Die größere Lektion für Unternehmens-KI

Unternehmen haben in den letzten zwei Jahren Governance-Programme rund um KI-Anbieter und Cloud-Konten aufgebaut. Der JetBrains-Vorfall spricht für eine Governance auf einer Ebene tiefer, bei der sich die Instruments-Entwickler selbst installieren, ohne um Erlaubnis zu fragen. Ein IDE-Plugin-Marktplatz fungiert als Software program-Lieferkette, unabhängig davon, ob Sicherheitsteams damit begonnen haben, ihn als eine solche zu behandeln. Die Organisationen, die ihr Bedrohungsmodell zuerst aktualisieren, werden diejenigen sein, die ihrem Vorstand als Nächstes keinen Verstoß gegen ihre Anmeldedaten erklären.

Von admin

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert