15 款偷 Key 插件被 JetBrains 一锅端, 目标国内开发者?

又给国内开发者丢脸了,Aikido Security 的研究员在扫描 JetBrains Marketplace 时,撞见了一件挺离谱的事:15 款挂着”AI 编程助手”名头的插件,装的时候一切正常,聊天、写 commit 信息、找 bug、生成单元测试,功能样样不缺。唯独你填进设置面板的那个 API Key,会在你点下”Apply”的瞬间,原封不动发给一台跟任何正规 AI 服务商都毫无关系的服务器。

没有弹窗提示,没有隐私声明,代码里就是这么直白地写着:只要你的 key 符合 sk- 开头、51 位长度,立刻打包上传。

这批插件从 2025 年 10 月底开始陆续上架,一直到 2026 年 7 月还有新款在发布,加起来被安装了将近 70,000 次。JetBrains 近期才把 7 个发布账号和 15 款插件一次性连根拔起。这套东西在 Marketplace 里安安静静活了差不多八个月。

中招名单:先看看你装过没有

这 15 款插件分散在 7 个不同的发布者账号下面,账号名字听着都很”正规军”:CodePilot、StackSmith、CodeCrafter、CodeWeaver、JetCode、DailyCode、ZenCoder。这种”打散马甲”的玩法有个好处:就算一个账号被举报封了,剩下六个照样能收割。

插件名称 插件 ID 下载量
DeepSeek Junit Test org.sm.yms.toolkit 1,121
DeepSeek Git Commit com.json.simple.kit 1,894
DeepSeek FindBugs org.bug.find.tools 1,485
DeepSeek AI Chat org.translate.ai.simple 1,317
DeepSeek Dev AI com.yy.test.ai.simple 740
DeepSeek AI Coding com.dev.ai.toolkit 450
AI FindBugs com.json.view.simple 623
AI Git Commitor com.my.git.ai.kit 301
AI Coder Review org.check.ai.ds 735
DeepSeek Coder AI com.review.tool.code 3,498
AI Coder Assistant org.code.assist.dev.tool 319
DeepSeek Code Review com.coder.ai.dpt 278
CodeGPT AI Assistant com.my.code.tools 25,571
DeepSeek AI Assist ord.cp.code.ai.kit 27,727
Coding Simple Tool com.dp.git.ai.tool 3,931

下载量分布挺有意思:前面十几款苟着发育了大半年,加起来也就一万出头。真正的收割发生在最后一周。6 月 9 日、10 日连续上架两款,一周之内就吃下五万多次下载,占了总量的大头。Aikido Security 的分析指出,短时间内这种爆发式增长,配合插件页面下一堆五星好评,多半是刷出来的。

更离谱的是变现方式

按常理,偷来的 key 要么自己用,要么打包卖到暗网,这事儿就算完了。但这批插件玩出了新花样:它内置了一个”捐赠”入口,你付点小钱,它就还给你一个能用的 API Key。

问题是,这个”发”给你的 key,很可能就是从别的免费用户那儿偷来的。免费用户负责往里填 key,付费用户负责把这些 key 用掉,账单最后算在最初填 key 的那批人头上。

攻击者两头收钱,一边收”捐赠”,一边收 key,中间不产生任何自己的算力成本。Aikido 的原话是这操作”离谱”,因为正常的 AI 服务商谁会随手把一个没有限制的付费 key 发给陌生人。代码逻辑也简单粗暴:客户端优先用服务器返回的 key,自己的 key 反而是备用项

现在就能做的两件事

第一,翻一下已安装插件列表。 打开 JetBrains 的插件管理页面,对照上面的表格查一遍插件 ID,不是插件名字,马甲名字很容易撞车。找到了,卸载,然后去对应的 AI 服务商后台把这个 key 直接吊销,而不是仅仅删掉。key 一旦离开过你的电脑,就该当它已经泄露处理。

第二,查一下有没有 connect 过 39.107.60.* 这个地址。 这是研究人员确认的 C2 服务器,走的是明文 HTTP,不是 HTTPS。如果你的防火墙或者代理日志里能翻到这条记录,说明 key 已经被拿走了,不只是”理论上有风险”。

不排除这个机器被黑,希望阿里云先暂其服务

这事不会只发生在 JetBrains

Aikido 自己在文章里提了一句,VS Code 生态也在被类似的供应链攻击盯上,比如同期还在活跃的 GlassWorm。

浏览器这边情况也不乐观。号称”广告拦截器”的 Smart Adblocker 和 Adblock for Browser,被发现悄悄劫持了 9万用户的ChatGPT、Claude、Gemini对话记录;坐拥 600 万装机量、评分 4.7 的 Urban VPN,从 2025 年 7 月的 5.5.0 版本起,默认把用户和 AI 对话的内容打包卖给了 数据经纪公司

装机量、评分、”功能正常”,这些原本用来判断一个插件靠不靠谱的信号,这次全都失灵了。留给开发者的办法,说到底也只有一条:别信”看起来没问题”,去查它到底往哪儿发数据。


(信息来源:Aikido SecurityThe Hacker NewsKoi Security