Beveiligingsbedrijf Aikido Security heeft kwaadaardige plug-ins ontdekt in de JetBrains Marketplace die API-sleutels van AI-diensten onderscheppen. Volgens de onderzoekers gaat het om minstens vijftien extensies, die samen bijna 70.000 keer zijn geïnstalleerd.
De plug-ins presenteerden zich als AI-assistenten voor ontwikkelaars. Ze boden functies zoals chat, code reviews, het genereren van commitberichten, bugdetectie en unittests. Hoewel de extensies deden wat ze beloofden, stuurden ze op de achtergrond ingevoerde API-sleutels door naar een externe server.
Volgens Aikido Security maakten de extensies gebruik van vrijwel identieke code. Ze verschenen onder verschillende namen en leveranciersaccounts, maar bevatten dezelfde verborgen functionaliteit. De eerste varianten doken eind oktober 2025 op. Ook in juni 2026 werden nog nieuwe versies gepubliceerd, waarvan de meest recente op 10 juni verscheen.
Om de AI-functies te gebruiken moesten gebruikers een API-sleutel invoeren van diensten zoals OpenAI, DeepSeek of SiliconFlow. Zodra deze werd opgeslagen, stuurde de plug-in de sleutel automatisch door naar een server van de aanvallers.
De onderzoekers troffen een hard gecodeerd IP-adres aan in de software. De gegevens werden via een onbeveiligde HTTP-verbinding verzonden naar een server die geen relatie had met de genoemde AI-aanbieders.
Voor gebruikers was niets zichtbaar. Er verscheen geen waarschuwing of andere melding dat gevoelige gegevens werden doorgestuurd.
Verdacht verdienmodel
Aikido Security ontdekte ook een betaalde variant. Gebruikers konden tegen betaling toegang krijgen tot AI-functionaliteit. Na betaling ontving de plug-in een API-sleutel vanaf dezelfde externe server en gebruikte vervolgens die sleutel voor AI-verzoeken.
Volgens de onderzoekers is dat een opmerkelijke constructie. Zij vermoeden dat de beheerders mogelijk gestolen API-sleutels hergebruikten of doorverkochten. In dat scenario leveren nietsvermoedende gebruikers hun eigen sleutels aan, terwijl betalende klanten toegang krijgen tot diezelfde accounts.
De bevindingen van Aikido werden bevestigd door een onafhankelijke analyse van BleepingComputer. Die publicatie onderzocht de meest recente versie van de DeepSeek AI Assist-plug-in en trof dezelfde functionaliteit aan voor het onderscheppen van API-sleutels.
Opvallend is dat de betreffende plug-in volgens BleepingComputer op het moment van publicatie nog steeds beschikbaar was via de JetBrains Marketplace.
Ontwikkelaars aantrekkelijk doelwit
De onderzoekers plaatsen de campagne in een bredere trend van supplychain-aanvallen gericht op ontwikkelaars. IDE’s bevatten vaak broncode, cloudreferenties, certificaten en andere gevoelige gegevens. Daar zijn de afgelopen jaren API-sleutels voor AI-diensten bij gekomen, die een directe financiële waarde vertegenwoordigen.
Kwaadaardige plug-ins hebben daarbij een gunstige positie. Ze draaien binnen een vertrouwde ontwikkelomgeving en krijgen vaak vergaande toegang tot bestanden en instellingen.
Hoewel JetBrains een handmatig beoordelingsproces hanteert voor nieuwe plug-ins, laat deze campagne volgens Aikido Security zien dat verborgen kwaadaardige functionaliteit toch door de controles heen kan glippen.
Aikido adviseert ontwikkelaars om geïnstalleerde AI-plug-ins kritisch te controleren en API-sleutels direct te vervangen wanneer een van de getroffen extensies in gebruik is geweest.