事件经过
2026 年 6 月 16 日,Aikido Security 报告了 JetBrains Marketplace 上一个协调的 15 个恶意插件的活动,自 2025 年 10 月以来一直活跃。这些插件按照宣传功能运行(AI 编码、提交消息生成、代码审查、错误查找),同时无声地泄露在其设置中输入的任何 AI 提供商 API 密钥。BleepingComputer 独立确认了 DeepSeek AI Assist 插件(ord.cp.code.ai.kit,约 27,727 次下载)中的盗窃代码。JetBrains 移除了全部 15 个插件,并于 2026 年 6 月 16-17 日披露了该事件。攻击者似乎转售被盗密钥或直接使用它们,有时向受害者提供被盗密钥作为"付费层"福利。
影响分析
IDE 插件对开发者工作站具有不受限制的访问权限——源代码、云凭证、签名密钥以及现在的 AI API 密钥。此活动表明威胁行为者正在专门针对 AI 开发者工具作为高价值凭证源。被盗的 AI API 密钥可以以受害者为代价启用模型滥用,暴露发送给 AI 提供商的机密提示和代码,以及如果相同密钥授予更广泛权限则可能在云环境中进行透视。
攻击途径
插件伪装成基于 DeepSeek/OpenAI 的合法 AI 编码助手、代码审查工具和 Git 实用程序。当开发者将 AI 提供商 API 密钥粘贴到插件的设置面板中并点击应用时,隐藏的 save() 处理程序立即通过未加密的 HTTP(通过自定义 X509TrustManager 绕过 TLS)将密钥泄露到硬编码的攻击者控制的服务器(39.107.60[.]51)。除了正常的插件设置外,无需用户交互。
受影响系统
15 个恶意 JetBrains Marketplace 插件(ID 包括 ord.cp.code.ai.kit、com.my.code.tools);所有 JetBrains IDE(IntelliJ IDEA、PyCharm、WebStorm、GoLand 等)
缓解措施
立即移除所有 15 个受影响的插件(参见 JetBrains 公告中的插件 ID)。轮换在 JetBrains IDE 中配置的所有 AI 提供商 API 密钥。监视 AI 提供商计费中的异常使用。阻止到 39.107.60[.]51 的出站连接。公告:https://blog.jetbrains.com/platform/2026/06/marketplace-ecosystem-security-update-malicious-ai-plugins