Zum Hauptinhalt springen
S-EDV news
Schönfelder EDV
← Alle News
Sicherheit & Datenschutz 21.06.2026 · 6 min Lesezeit

JetBrains Marketplace: 15 schädliche Plug-ins stehlen API-Keys für OpenAI, DeepSeek und SiliconFlow

Sicherheitsforscher von Aikido haben 15 bösartige Plug-ins im offiziellen JetBrains-Marketplace entdeckt, die API-Keys für OpenAI, DeepSeek und SiliconFlow an einen externen Server übertragen. Die Plug-ins tarnen sich als DeepSeek- und AI-Coding-Tools, locken mit Paywall-Modellen und kommen zusammen auf rund 70.000 Installationen. Admins müssen jetzt handeln.

MS
Marcel Schönfelder
IT-Freelancer & Inhaber
JetBrains Marketplace schädliche Plug-ins API-Key Diebstahl Sicherheitswarnung

Im offiziellen Marketplace von JetBrains haben Sicherheitsforscher von Aikido 15 bösartige Plug-ins entdeckt, die API-Schlüssel für KI-Modelle wie OpenAI, DeepSeek und SiliconFlow an einen externen Server exfiltrieren. Die Plug-ins tarnen sich als DeepSeek- und AI-Coding-Assistenten, funktionieren ansonsten wie versprochen und kommen zusammen auf rund 70.000 Installationen. JetBrains hat die Plug-ins am 16. Juni 2026 aus dem Marketplace entfernt und die zugehörigen Publisher-Konten gesperrt.

Meldung und Einordnung

Die Plug-ins sind offiziell über den JetBrains-Marketplace ausgeliefert worden, also über den gleichen Kanal, über den auch unverdächtige Erweiterungen für IntelliJ IDEA, PyCharm, WebStorm, GoLand und die übrigen JetBrains-IDEs verteilt werden. Sie geben sich als KI-gestützte Helfer für Aufgaben wie Commit-Messages, Unit-Tests, Code-Reviews und Bug-Suche aus und fragen wie üblich einen API-Key für einen KI-Provider ab. Dieser Schlüssel wird laut Aikido unmittelbar nach der Eingabe im Klartext per HTTP an die IP-Adresse 39.107.60.51 übermittelt, die in Peking gehostet wird. Die Angreifer verschleiern die Übertragung nicht.

Die ersten schädlichen Plug-ins sind laut Aikido bereits im Oktober 2025 im Marketplace aufgetaucht, das jüngste wurde erst im Juni 2026 hinzugefügt. Damit lief die Kampagne rund acht Monate lang unbemerkt direkt im offiziellen Vertriebskanal. Die Download-Zahlen pro Plug-in liegen zwischen gut 300 und knapp 28.000, wobei Aikido nicht ausschließen kann, dass ein Teil der Downloads durch die Angreifer selbst erzeugt wurde, um die Reichweite künstlich zu erhöhen.

Der Vorfall reiht sich in eine wachsende Serie von Angriffen ein, die gezielt Entwickler-Werkzeuge kompromittieren. Im Gegensatz zu klassischer Malware, die ein ganzes System absucht, zielt der JetBrains-Vorfall auf einen einzelnen, hochwertigen Datentyp: API-Keys, mit denen sich direkt Geld ausgeben oder fremde Inhalte generieren lassen. Wer eines der betroffenen Plug-ins installiert hat oder installiert hatte, muss den eingegebenen Key als kompromittiert betrachten.

Technische Details für Admins

Die schädlichen Plug-ins tarnen sich als nützliche KI-Werkzeuge und übernehmen die von einer seriösen Erweiterung gewohnten Funktionen wie Code-Reviews, Commit-Message-Generierung oder JUnit-Test-Generierung. Im Hintergrund übertragen sie den vom Anwender eingegebenen API-Key jedoch an einen festen externen Endpunkt. Die Forscher von Aikido listen 15 betroffene Plug-ins mit klaren IDs auf, damit Administratoren gezielt prüfen können, ob eines davon im Unternehmen ausgerollt ist.

Plug-in-NamePlug-in-IDGetarnt als
DeepSeek Junit Testorg.sm.yms.toolkitTest-Generator
DeepSeek Git Commitcom.json.simple.kitCommit-Message-Helfer
DeepSeek FindBugsorg.bug.find.toolsStatische Analyse
DeepSeek AI Chatorg.translate.ai.simpleChat-Assistent
DeepSeek Dev AIcom.yy.test.ai.simpleDeveloper-KI
DeepSeek AI Codingcom.dev.ai.toolkitCode-Vervollständigung
AI FindBugscom.json.view.simpleStatische Analyse
AI Git Commitorcom.my.git.ai.kitCommit-Message-Helfer
AI Coder Revieworg.check.ai.dsCode-Review
DeepSeek Coder AIcom.review.tool.codeCode-Review
AI Coder Assistantorg.code.assist.dev.toolCode-Assistent
DeepSeek Code Reviewcom.coder.ai.dptCode-Review
CodeGPT AI Assistantcom.my.code.toolsCode-Assistent
DeepSeek AI Assistord.cp.code.ai.kitCode-Assistent
Coding Simple Toolcom.dp.git.ai.toolEntwickler-Werkzeug

Alle 15 Plug-ins übertragen die abgegriffenen API-Keys an dieselbe IP-Adresse 39.107.60.51. Die unverschlüsselte HTTP-Übertragung erleichtert es, die Plug-ins in Unternehmens-Proxies oder in einer lokalen Netzwerk-Analyse zu erkennen, etwa über Suricata- oder Zeek-Signaturen, die HTTP-Requests mit Body-Parametern wie api_key= an diese Zieladresse melden.

Betroffen sind alle JetBrains-IDEs, die das Marketplace-Plug-in-Format nutzen, also IntelliJ IDEA, PyCharm, WebStorm, GoLand, PhpStorm, RubyMine, Rider, CLion, DataGrip, RustRover und andere. Die Plug-ins funktionieren unter allen unterstützten Betriebssystemen (Windows, macOS, Linux). Da die Plug-ins in den vergangenen acht Monaten über reguläre IDE-Update-Mechanismen ausgeliefert wurden, ist eine zentrale Außerbetriebnahme in Unternehmen mit vielen Entwicklern besonders wichtig.

Risiko für KMU und Betrieb

Das größte Risiko liegt nicht in der Infektion der Entwickler-Arbeitsplätze, sondern in der finanziellen und reputationsbezogenen Wirkung der gestohlenen API-Keys. Wer einen OpenAI-, DeepSeek- oder SiliconFlow-Key eingibt, ermächtigt damit faktisch den Empfänger, im Namen des Unternehmens KI-Anfragen zu stellen und entsprechende Kosten zu verursachen. Die Angreifer verkaufen die abgefischten Schlüssel laut Aikido über die Paywall-Mechanik der eigenen Plug-ins weiter, das heißt, andere Käufer nutzen die gestohlenen Schlüssel direkt und die ursprünglichen Inhaber tragen die Rechnung.

Für KMU bedeutet das ein doppeltes Schadensbild: Zum einen laufen unbemerkt Kosten auf, die im schlimmsten Fall die Kreditkarte des Unternehmens belasten, ohne dass eine sichtbare Gegenleistung existiert. Zum anderen werden unternehmensinterne Daten an Dritte übermittelt, die als Teil von Code-Reviews, Commit-Messages oder Unit-Tests an die KI-Schnittstellen gesendet werden. Gerade in Branchen mit sensiblen Daten wie Finanzen, Versicherungen, Behörden oder Verteidigung kann ein einziger API-Key ausreichen, um Geschäftsgeheimnisse an die falsche Adresse zu spielen.

Was Admins jetzt prüfen sollten

  1. Plug-in-Inventur erstellen. In allen JetBrains-IDEs im Unternehmen prüfen, ob eines der 15 Plug-ins aus der Liste installiert ist oder war. In IntelliJ IDEA unter Settings → Plugins → Installed filtern, in PyCharm analog.
  2. API-Keys rotieren. Alle API-Keys für OpenAI, DeepSeek, SiliconFlow und vergleichbare Provider sofort im jeweiligen Provider-Portal widerrufen und neu erzeugen. Auch Keys, die nur testweise eingegeben wurden, sind kompromittiert.
  3. Abrechnungen prüfen. Im OpenAI-, DeepSeek- und SiliconFlow-Backend die letzten acht Monate auf ungewöhnliche Kosten oder unbekannte Nutzungsspitzen kontrollieren. Auffälligkeiten dem Provider melden und falls möglich Rechnungen stornieren lassen.
  4. Plug-in-Update-Politik schärfen. Plug-ins aus dem JetBrains-Marketplace nicht mehr automatisch über alle Entwickler hinweg zulassen, sondern eine kuratierte Allowlist pflegen. Die S-EDV-Anleitung zu Plugin-Risiken bei WordPress läßt sich sinngemäß auf IDE-Plug-ins übertragen.
  5. Outbound-Traffic überwachen. Suricata-, Zeek- oder Firewall-Logs der letzten Monate auf HTTP-Requests an 39.107.60.51 filtern. Jede Verbindung aus einem Entwickler-Subnetz auf diese IP ist ein klarer Indikator.
  6. Mitarbeiter informieren. Entwicklungsteams informieren, dass API-Keys ab sofort ausschließlich über einen zentralen, vom Unternehmen verwalteten Secret-Store wie HashiCorp Vault, Bitnami Sealed Secrets oder vergleichbare Lösungen bezogen werden. Niemals persönliche oder gemeinsam genutzte API-Keys mehr in IDE-Plug-ins eintragen.
  7. Lieferketten-Risiken im Blick behalten. Den Vorfall in die nächste Sicherheitsschulung aufnehmen und die im S-EDV-Artikel zu npm-12 und GitHub-Installationen beschriebenen Leitlinien auf IDE-Plug-ins ausdehnen.

Betriebscheck nach der Meldung

  1. Wurden in den letzten acht Monaten Plug-ins aus dem JetBrains-Marketplace automatisch oder ohne Prüfung installiert?
  2. Gibt es eine zentrale Konfigurationsdatei, mit der JetBrains-Plug-ins unternehmensweit ausgerollt werden?
  3. Sind alle aktiven API-Keys für OpenAI, DeepSeek und SiliconFlow im Secret-Manager hinterlegt und nicht in IDEs eingetragen?
  4. Wurde das Outbound-Monitoring in den letzten Monaten vollständig geloggt, sodass eine Verbindung zu 39.107.60.51 nachträglich nachweisbar ist?
  5. Sind die Abrechnungen der genutzten KI-Provider in einem Monitorings- oder Buchhaltungs-Tool hinterlegt, das auffällige Spitzen automatisch meldet?
  6. Wurde der Vorfall in das unternehmensinterne Lieferketten-Risikoregister aufgenommen, sodass künftige ähnliche Vorfälle schneller erkannt werden?

Admin-Einschätzung

Der JetBrains-Marketplace galt bislang als vergleichsweise vertrauenswürdiger Kanal, ähnlich wie der Apple App Store oder der Microsoft Store. Der Aikido-Bericht zeigt, dass diese Annahme trügerisch ist: Acht Monate lang wurden 15 schädliche Plug-ins über genau diesen Kanal verteilt, ohne dass es automatisierte Prüfungen gab, die das unverschlüsselte Senden von API-Keys an einen fremden Server bemerkt hätten. Für Unternehmen mit größeren Entwicklerteams ist das ein Weckruf, IDE-Plug-ins genauso streng zu behandeln wie Smartphone-Apps oder Browser-Erweiterungen.

Pragmatisch empfehle ich drei Schritte: erstens in den nächsten 24 Stunden Plug-ins prüfen und API-Keys rotieren, zweitens die IDE-Konfiguration in eine zentrale Konfigurationsverwaltung überführen, damit neue Plug-ins nicht mehr spontan installiert werden, und drittens das Outbound-Monitoring um eine Regel auf 39.107.60.51 ergänzen, damit eine mögliche laufende Kompromittierung sofort sichtbar wird. Wer in seinem Unternehmen bereits Lieferketten-Risiken für npm, PyPI und Docker-Images überwacht, sollte die JetBrains-Marketplace-URL https://plugins.jetbrains.com als zusätzliche Bezugsqülle mit aufnehmen.

Passende Anleitungen auf S-EDV

  1. WordPress-Sicherheit: Plugin-Risiken brauchen feste Update- und Prüfprozesse – liefert das Grundgerüst für eine Plugin-Whitelist, das sich sinngemäß auf IDE-Plugins übertragen läßt.
  2. Miasma-Supply-Chain-Angriff: Red-Hat-npm-Pakete mit Credential-Stealer kompromittiert – zeigt am npm-Ökosystem, wie Angreifer über offizielle Paketqüllen an Credentials gelangen.
  3. npm 12 verschärft Installationen gegen Supply-Chain-Angriffe – ordnet die aktuellen Schutzmaßnahmen in der JavaScript-Welt ein, die auch für andere Paketqüllen relevant sind.

Quellen

  1. heise online: Mehrere Plug-ins für JetBrains-IDEs stehlen API-Keys für OpenAI, DeepSeek & Co. (17.06.2026)
  2. heise online (englische Fassung): Multiple plugins for JetBrains IDEs steal API keys
  3. JetBrains Blog: Malicious plugins identified on the Marketplace (16.06.2026)
  4. Aikido Security: Malicious JetBrains plugins leak user data
Verwandt

Weiter lesen

Alle Artikel →
F5 nginx kritische Lücken HTTP/3 Use-after-free Heap-Überlauf Sicherheitspatch
21.06.2026 ·6 min

F5 patcht außerplanmäßig kritische Nginx-Lücken: HTTP/3-Use-after-free und Heap-Überlauf

F5 hat am 19. Juni 2026 vier Nginx-Sicherheitslücken außer der Reihe geschlossen, darunter eine kritische Use-after-free-Lücke im HTTP/3-QUIC-Modul (CVE-2026-42530, CVSS 9.2) und einen Heap-Überlauf im Proxy- und gRPC-Modul (CVE-2026-42055, CVSS 9.2). Admins, die HTTP/3 aktiv nutzen, müssen ihre Nginx-Konfiguration anpassen, der Nginx Ingress Controller bleibt ohne Fix.
usbliter8 Exploit Apple A12 A13 SecureROM
21.06.2026 ·5 min

usbliter8: Unpatchbare BootROM-Lücke in Apple A12/A13-Chips

Paradigm Shift veröffentlicht usbliter8-Exploit gegen Apple A12/A13 SecureROM. Kein Software-Patch möglich.
Nightmare Eclipse Sicherheitsnews Grafik mit Zero Day Warnung, beschädigtem Microsoft Schutzschild, Lupe und dunkler Cybersecurity Atmosphäre vor Server Hintergrund
20.06.2026 ·4 min

Nightmare Eclipse: Der Zero-Day-Forscher, der Microsoft seit Monaten vorführt

Seit März 2026 veröffentlicht Nightmare Eclipse regelmäßig Exploits für ungepatchte Microsoft-Lücken – immer dienstags, immer am Patchday. Sechs Zero-Days, eine MSRC-Kontroverse und kein Ende in Sicht.