Co najmniej 15 wtyczek do edytorów JetBrains wykradało klucze API kont OpenAI, DeepSeek i SiliconFlow. Publikowano je w oficjalnym sklepie Marketplace przez siedem różnych kont autorów od października 2025 do połowy czerwca 2026. Mechanizm jest natomiast banalny. Po instalacji wtyczka prosi dewelopera o klucz API “do generowania kodu” albo komentarzy commitów, a w tle wysyła go na serwer atakującego. Łącznie odnotowano około 70 tysięcy pobrań. Trzeba jednak pamiętać o jednym zastrzeżeniu. Liczniki JetBrains Marketplace nie odróżniają unikalnych instalacji od ponownych aktualizacji. Dlatego realna liczba poszkodowanych może być mniejsza. Kampanię opisała 16 czerwca 2026 firma Aikido Security, raport relacjonował BleepingComputer. Mechanizm przypomina niedawny atak na deweloperów przez fałszywe oferty pracy z LinkedIn. Tym razem wektorem nie był jednak skrypt npm, lecz oficjalny sklep z wtyczkami. Dla polskiego software house’u używającego IntelliJ, PyCharm i WebStorma to konkretny komunikat. Czas dziś rano przejrzeć wtyczki w środowiskach deweloperskich.
Co dokładnie ujawniło Aikido Security – skala kampanii i nazwy wtyczek
Aikido Security zajmuje się bezpieczeństwem łańcucha dostaw oprogramowania. Firma znana jest dziś z regularnych raportów o złośliwych paczkach npm i wtyczkach do popularnych narzędzi developerskich. W raporcie z 16 czerwca 2026 zespół analityków pokazał konkretne dane. Co najmniej 15 wtyczek opublikowanych w JetBrains Marketplace pod siedmioma różnymi kontami autorów wprowadzało ten sam mechanizm. Po instalacji wtyczka prosi użytkownika o wprowadzenie klucza API do usługi AI, deklarując, że pomoże wygenerować kod lub komentarz commitu. Klucz natomiast nie zostaje w lokalnym storage edytora. Zamiast tego trafia w tle na serwer atakującego, a deweloper w ogóle tego nie widzi. Aikido stawia hipotezę, że skradzione klucze mogą trafiać do płacących użytkowników infrastruktury “AI bez kosztu”. Raport nie pokazuje natomiast konkretnego kanału monetyzacji.
Łączna liczba pobrań w kampanii to około 70 tysięcy. BleepingComputer od razu dodaje zastrzeżenie. Liczniki Marketplace nie odróżniają unikalnych instalacji od ponownych pobrań i aktualizacji. Realna liczba indywidualnych deweloperów dotkniętych atakiem może być więc wyraźnie niższa. Dwie wtyczki wybijają się natomiast skalą szczególnie. DeepSeek AI Assist zebrała 27 727 pobrań, a CodeGPT AI Assistant kolejne 25 571. Pozostałe nazwy obejmują między innymi AI Git Commitor (asystent do generowania komentarzy do commitów) oraz DeepSeek Code Review (recenzent kodu napędzany modelem DeepSeek). Pierwsze wtyczki opublikowano w październiku 2025, a w kolejnych miesiącach pojawiały się sukcesywnie nowe, aż do połowy czerwca 2026. Z perspektywy łańcucha dostaw to klasyczna kampania długoterminowa, a nie pojedynczy strzał. BleepingComputer zwrócił się do JetBrains z pytaniem o reakcję, ale firma do publikacji raportu nie odpowiedziała.
Dlaczego kradzież klucza API kosztuje dewelopera więcej, niż się wydaje
Klucz API do usługi typu OpenAI, DeepSeek czy SiliconFlow to nie jest zwykłe hasło, które można po prostu zresetować i zapomnieć. To poświadczenie z dostępem do portfela, ponieważ każde wywołanie modelu kosztuje pieniądze. Dlatego atakujący, który przejmuje klucz, zazwyczaj nie kradnie kodu firmy. Uruchamia natomiast z cudzego konta własne zapytania do modelu, dopóki właściciel albo dostawca nie zareagują. Im wyższy limit na rachunku, tym dłużej trwa, zanim taki wzorzec ruchu wzbudzi alarm po stronie dostawcy.
Drugi front – dostęp wtyczki do środowiska dewelopera
Klucz to nie jest jedyne ryzyko. Wtyczka do JetBrains nie pracuje w piaskownicy. Ma takie uprawnienia jak każdy zaufany dodatek w edytorze. Obejmuje to dostęp do otwartych plików, ustawień i sekretów wpisanych w samym IDE. Aikido nie pokazuje wprawdzie konkretnego przykładu wykradania kodu przez te 15 wtyczek. Architektonicznie sama obecność takiej wtyczki w edytorze otwiera natomiast drugi front ryzyka poza samą kradzieżą klucza. Dla polskiego software house’u, który pracuje na kodzie klienta z klauzulą NDA, problemem staje się sam fakt zainstalowania wtyczki nieznanego autora. Niezależnie od tego, co konkretnie wtyczka eksfiltrowała.
Co konkretnie powinien zrobić polski tech lead w tym tygodniu
Kampania trwała osiem miesięcy. Część polskich zespołów ma więc w swoich środowiskach IDE prawdopodobnie którąś z tych wtyczek od stycznia albo lutego. Dlatego pierwszy krok zajmuje 10 minut na osobę i polega na otwarciu menedżera wtyczek w IntelliJ (Settings → Plugins → Installed) i przejrzeniu listy. Każda wtyczka, która zawiera w nazwie “DeepSeek”, “CodeGPT” albo “AI Git Commitor”, powinna być natychmiast wyłączona i zgłoszona w wewnętrznym kanale bezpieczeństwa.
Drugi krok dotyczy z kolei kluczy API. Wszystkie klucze, które kiedykolwiek były wpisane do podejrzanej wtyczki, należy unieważnić w panelu dostawcy (platform.openai.com, platform.deepseek.com, console.siliconflow.cn) i wygenerować nowe. Następnie warto przejrzeć dzienniki wykorzystania API z ostatnich 30 dni. Sprawdzaj zapytania z nietypowych adresów IP oraz wywołania niespotykanych modeli (np. GPT-3.5 w projekcie, który nigdy nie używał tego modelu). Trzeci krok jest natomiast najtrudniejszy organizacyjnie. Zespół powinien dziś ustalić wewnętrzną politykę instalacji wtyczek do IDE. Standard branżowy w dużych zespołach to whitelisting – tylko wtyczki zatwierdzone centralnie przez dział security mogą być instalowane na sprzęcie firmowym. W małych zespołach standard to przynajmniej krótka konsultacja przed instalacją nieznanego dodatku.
Frontend Master 2026 · Kodożercy
Wreszcie rozumiesz, dlaczego kod od AI raz działa, a raz nie
Frontend Master 2026 to pakiet sześciu kursów Kodożerców, który daje Ci język do prowadzenia kodu od AI: poprawiania, łączenia, rozszerzania i szybkiego znajdowania linijki, którą trzeba zmienić. Bez teorii dla samej teorii.
Wchodzę w to →
Dlaczego JetBrains Marketplace nie wyłapał kampanii wcześniej
JetBrains prowadzi natomiast własny sklep z wtyczkami, podobny w założeniu do Chrome Web Store albo VS Code Marketplace. Każda wtyczka i każda jej aktualizacja przechodzi formalny proces akceptacji w Marketplace. Łączy on review automatyczny z manualnym. Obejmuje nazwę, profil autora, zagadnienia bezpieczeństwa, prywatności oraz zakaz wykorzystywania cudzych znaków towarowych bez autoryzacji. To są więc realne mechanizmy, nie kosmetyka.
Praktyczny problem polega na tym, że wtyczki z kampanii Aikido jednocześnie spełniają obietnicę z opisu. Generują kod, podpowiadają komentarze commitów. W tle wysyłają natomiast klucz dewelopera na zewnętrzny serwer. Zachowanie funkcjonalne maskuje więc działanie złośliwe. Wykrycie wymaga analizy ruchu sieciowego, której Marketplace systemowo nie prowadzi po stronie klienta. Drugi wymiar to nazewnictwo. Wtyczka “DeepSeek AI Assist” wygląda na pierwszy rzut oka jak oficjalna integracja z DeepSeekiem. Weryfikacja faktycznego powiązania autora z marką wymaga jednak skontrastowania konta publikującego z rejestrem firmy. Mimo zakazu używania cudzych znaków towarowych w regulaminie Marketplace, przy dużej liczbie wtyczek i aktualizacji pojedyncze przypadki podszywania umykają review. Tym właśnie posłużyli się atakujący przez osiem miesięcy.
Podsumowanie
Kampania 15 złośliwych wtyczek do edytorów JetBrains została opisana 16 czerwca 2026 przez Aikido Security. Zebrała około 70 tysięcy pobrań i wykradała klucze API kont OpenAI, DeepSeek oraz SiliconFlow przez osiem miesięcy. Najpopularniejsze wtyczki to natomiast DeepSeek AI Assist (27 727 pobrań) i CodeGPT AI Assistant (25 571). Dla polskiego software house’u, który używa IntelliJ, PyCharm i WebStorma, dziś rano warto otworzyć menedżera wtyczek i sprawdzić listę zainstalowanych pluginów. Każdy z wątpliwych dodatków powinien być wyłączony, a klucze API, które kiedykolwiek były wpisane do tych wtyczek, natychmiast unieważnione w panelach OpenAI, DeepSeek i SiliconFlow. W dłuższym horyzoncie warto zaplanować w zespole politykę instalacji wtyczek, bo JetBrains Marketplace samego mechanizmu nadużyć nie wyłapuje.
Newsletter · DevstockAcademy & Kodożercy
Bądź na bieżąco ze światem IT, AI i automatyzacji
Co wtorek: newsy z branży, praktyczne tipy i narzędzia które warto znać. Zero spamu.
