Sul JetBrains Marketplace sono spuntati almeno 15 plugin malevoli pensati con un obiettivo molto preciso, ovvero rubare le chiavi API per l’intelligenza artificiale direttamente dagli sviluppatori che le inseriscono nelle impostazioni. Una vicenda che mette in luce quanto possa essere fragile la fiducia riposta in strumenti apparentemente utili e legittimi, scaricati da un marketplace ufficiale.
La campagna è stata individuata dai ricercatori di Aikido Security, che hanno parlato di un’operazione coordinata. I plugin si presentano come assistenti di programmazione basati su AI, strumenti per la revisione del codice oppure utility per Git, appoggiandosi a servizi parecchio noti come OpenAI, DeepSeek e SiliconFlow. Sulla carta fanno esattamente quello che promettono. Il problema è cosa succede dietro le quinte.
Come funziona il furto delle credenziali
Secondo quanto ricostruito, i 15 plugin sono stati pubblicati sotto sette account venditore diversi, ma condividono tutti lo stesso comportamento nascosto. In pratica ognuno di loro esfiltra la chiave API del provider AI salvata nelle impostazioni, e messi insieme hanno raccolto qualcosa come 70.000 installazioni. I primi sono comparsi a ottobre 2025, e la pubblicazione di nuovi plugin è proseguita fino a tempi recentissimi, con l’ultimo datato 10 giugno 2026.
Il meccanismo è tanto semplice quanto subdolo. Il furto scatta nel momento in cui l’utente, dopo aver digitato la propria chiave API, clicca su “Apply”. A quel punto la credenziale viene spedita verso un server preimpostato all’indirizzo 39.107.60.51, tramite una connessione HTTP. Tutti e 15 i plugin condividono porzioni di codice molto simili, pur essendo stati caricati come prodotti distinti sul JetBrains Marketplace.
C’è poi un dettaglio che ha lasciato perplessi gli stessi ricercatori. Il server remoto è in grado di fornire chiavi API agli utenti paganti. Non è chiaro da dove arrivino, ma l’ipotesi avanzata è piuttosto inquietante, ovvero che gli operatori raccolgano le credenziali dagli utenti gratuiti per poi girarle a chi paga.
Il tranello del livello a pagamento
I plugin includono infatti un livello premium. Dopo aver versato una piccola somma attraverso la finestra di donazione integrata, il server invia una chiave API al client, che inizia a usarla per le chiamate ai modelli al posto di quella dell’utente. Una dinamica definita bizzarra dagli stessi analisti, dato che nessun operatore legittimo regalerebbe a un utente una chiave funzionante e senza limiti verso un provider AI a pagamento.
La cosa preoccupante è che molti di questi plugin risultavano ancora scaricabili al momento dell’analisi. L’ultima versione di DeepSeek AI Assist (con identificativo ord.cp.code.ai.kit) è stata esaminata in modo indipendente e conteneva ancora il codice per il furto delle credenziali descritto nel rapporto. Tra tutti, i due più scaricati sono proprio DeepSeek AI Assist, con 27.727 download, e CodeGPT AI Assistant, fermo a 25.571. Numeri che però vanno presi con le pinze, perché i conteggi dei download possono essere gonfiati e non corrispondono necessariamente a installazioni reali.
L’elenco completo comprende parecchi nomi: DeepSeek Junit Test, DeepSeek Git Commit, DeepSeek FindBugs, DeepSeek AI Chat, DeepSeek Dev AI, DeepSeek AI Coding, AI FindBugs, AI Git Commitor, AI Coder Review, DeepSeek Coder AI, AI Coder Assistant, DeepSeek Code Review, CodeGPT AI Assistant, DeepSeek AI Assist e Coding Simple Tool.
