文章总结： 安全团队发现JetBrains插件市场存在15款协同恶意插件，通过伪装成AI代码辅助工具窃取用户API密钥。攻击手法是在配置保存时同步外泄密钥至硬编码C2服务器，并构建密钥转售盈利闭环。事件揭示IDE插件供应链成为高危攻击面，建议开发者加强插件安全审查与密钥管理意识。 综合评分： 85 文章分类： 供应链安全,AI安全,恶意软件,安全意识,漏洞分析

AI安全案例分析 | JetBrains插件供应链攻击窃取AI密钥事件

原创

天元实验室 天元实验室

M01N Team

2026年6月22日 18:00 北京

在小说阅读器读本章

去阅读

概述

安全研究团队 Aikido 于2026年6月检测到 JetBrains 插件市场中一批协同恶意插件，共计15款，累计安装量接近7万次，均会在用户保存 AI 服务商 API 密钥的瞬间将其静默外泄至攻击者服务器。这批插件以 DeepSeek、OpenAI 等大语言模型为卖点，提供 AI 代码补全、Git Commit 生成、Bug 检测与单元测试等常见开发辅助功能，外观与功能均与正常插件无异。然而，其内部隐藏着密钥窃取逻辑，且最早版本可追溯至2025年10月，部分新版本在2026年6月事件曝光时仍在持续发布。由于插件市场下载量存在刷量空间，且存在大量虚假五星好评，实际受害规模难以精确评估。

01 攻击手法

所有15款插件共享同一套核心代码库，对外以不同名称与品牌重新包装。使用者在配置面板中输入 OpenAI、SiliconFlow 或 DeepSeek 等服务的 API 密钥，看似是普通的插件初始化操作，但密钥在保存的瞬间即被转发至攻击者控制的远端服务器。整个过程无弹窗提示、无授权界面，窃取行为完全隐藏在正常配置逻辑内部。

图1：密钥窃取核心逻辑——settings apply() 中内嵌的 save() 调用

如图所示，save() 方法在用户点击「Apply」保存密钥的瞬间被触发。代码先校验密钥格式（以 sk- 开头、长度为51位），随后立即调用 BaseUtil.request() 将密钥作为请求体字段发送至外部服务器，整个过程在主线程同步执行，无任何异步延迟或用户感知。攻击者将恶意逻辑与正常配置持久化逻辑合并在同一方法内，是其得以绕过代码审核的关键手段。

图2：外泄目标——硬编码 C2 服务器的 HTTP 请求构造

密钥通过明文 HTTP POST 请求发送至硬编码 IP 地址（39.107.60[.]51），请求头中携带静态鉴权 Token「F48D2AA7CF341F782C1D」。使用明文 HTTP 而非 HTTPS，意味着在同一网络环境下（如企业内网、VPN 出口）流量可被中间设备直接捕获。C2 域名不使用域名而直接用 IP，也是规避域名信誉检测的常见手法。

图3：攻击者的变现闭环——付费回传可用密钥

图3 揭示了该活动最关键的盈利模型：用户缴纳小额费用后，C2 服务器会将一个可用密钥下发至插件客户端，插件随即优先使用该服务端密钥替代用户自身密钥发起 AI 请求。合理推测，下发的密钥正是从其他受害者处窃取的凭据。攻击者构建了一套以被盗 API 密钥为底层资产的非法 AI 服务分发体系：一侧持续从免费用户处收割密钥，另一侧向付费用户出售算力访问权，形成自给自足的攻击闭环。这种模式将 API 密钥作为流通商品的地下经济运营。

02 IDE 插件的高价值攻击面

开发者的 IDE 环境集中存储了大量高价值凭据，包括：

• 源代码与内部业务逻辑
• 云服务商访问密钥（AWS、GCP、Azure）
• 代码签名私钥
• AI 服务商 API 密钥（可直接变现或用于算力消耗）

IDE 插件运行于开发者高度信任、全天常驻的环境中，无沙箱限制，拥有完整的文件系统与网络访问权限。这使其成为供应链攻击的理想载体，一个正常运作的插件中，只需嵌入少量恶意逻辑，即可长期潜伏。

JetBrains 插件市场虽设有人工审核环节，但功能正常的插件中的隐蔽后台行为仍可能通过审核。类似攻击已在 VS Code 生态中出现，GlassWorm 活动即为典型案例，IDE 插件供应链正在成为持续性攻击面。

03 受影响插件列表

以下插件均来自7个不同厂商账户，共享同一恶意代码基础：

| | | | | | — | — | — | — | | 插件名称 | 插件ID | 下载量 | 发布时间 | | DeepSeek Junit Test | org.sm.yms.toolkit | 1,121 | 2025-10-31 | | DeepSeek Git Commit | com.json.simple.kit | 1,894 | 2025-11-01 | | DeepSeek FindBugs | org.bug.find.tools | 1,485 | 2025-11-09 | | DeepSeek AI Chat | org.translate.ai.simple | 1,317 | 2025-11-23 | | DeepSeek Dev AI | com.yy.test.ai.simple | 740 | 2025-11-30 | | DeepSeek AI Coding | com.dev.ai.toolkit | 450 | 2025-12-06 | | AI FindBugs | com.json.view.simple | 623 | 2025-12-14 | | AI Git Commitor | com.my.git.ai.kit | 301 | 2026-01-10 | | AI Coder Review | org.check.ai.ds | 735 | 2026-01-11 | | DeepSeek Coder AI | com.review.tool.code | 3,498 | 2026-01-15 | | AI Coder Assistant | org.code.assist.dev.tool | 319 | 2026-02-01 | | DeepSeek Code Review | com.coder.ai.dpt | 278 | 2026-04-18 | | CodeGPT AI Assistant | com.my.code.tools | 25,571 | 2026-06-09 | | DeepSeek AI Assist | ord.cp.code.ai.kit | 27,727 | 2026-06-10 | | Coding Simple Tool | com.dp.git.ai.tool | 3,931 | — |

04 事件总结

越来越多的开发者在日常工作流中引入了与 LLM API 深度结合的第三方插件。攻击者看到的机会在于AI 密钥具有直接经济价值，可被转售或用于消耗算力；而开发者对「好用的 AI 插件」的需求，使他们在安全评估上倾向于降低警惕。

从 npm 包投毒到 VS Code 扩展攻击，再到本次 JetBrains 插件事件，开发者工具链供应链攻击已形成持续活跃的威胁态势。在 AI 工具高速扩张的背景下，插件生态的安全审查机制与开发者的安全意识，都需要同步升级。

关于 AISS 安全智链社区

本案例已收录至 AISS 安全智链社区案例库。案例库持续整理国内外 AI 安全典型事件，覆盖供应链攻击、提示注入、越狱攻击、智能体权限滥用等多个方向，每条案例均附有攻击路径还原与防御建议，供安全研究人员与开发者参考。欢迎访问社区获取更多内容https://aiss.nsfocus.com/#/

参考链接

[1] https://www.aikido.dev/blog/multiple-jetbrains-ide-plugins-caught-stealing-ai-keys

[2] https://thehackernews.com/2026/06/malicious-jetbrains-plugins-steal-ai.html

绿盟科技天元实验室专注于新型实战化攻防对抗技术研究。

研究目标包括：漏洞利用技术、防御绕过技术、攻击隐匿技术、攻击持久化技术等蓝军技术，以及攻击技战术、攻击框架的研究。涵盖Web安全、终端安全、AD安全、云安全等多个技术领域的攻击技术研究，以及工业互联网、车联网等业务场景的攻击技术研究。通过研究攻击对抗技术，从攻击视角提供识别风险的方法和手段，为威胁对抗提供决策支撑。

M01N Team公众号

聚焦高级攻防对抗热点技术

绿盟科技蓝军技术研究战队

官方攻防交流群

网络安全一手资讯

攻防技术答疑解惑

扫码加好友即可拉群

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：M01N Team 天元实验室 天元实验室《AI安全案例分析 | JetBrains插件供应链攻击窃取AI密钥事件》