Beveiligingsbedrijf Aikido Security vond vijftien kwaadaardige plugins in de JetBrains Marketplace die heimelijk OpenAI, DeepSeek en SiliconFlow API-sleutels doorsturen naar een aanvaller. Samen goed voor bijna 70.000 installaties.
Een AI-codeerassistent installeren in IntelliJ of PyCharm voelt onschuldig: je plakt je API-sleutel in de instellingen en de plugin doet de rest. Precies dat vertrouwen is misbruikt. Onderzoekers van beveiligingsbedrijf Aikido Security ontdekten vijftien kwaadaardige plugins in de officiële JetBrains Marketplace die zich voordoen als AI-hulpjes, maar je API-sleutel stilletjes doorsturen naar een server van de aanvaller. Samen zijn ze bijna 70.000 keer geïnstalleerd.
Wat er precies gebeurt
De plugins doen exact wat ze beloven: chatten met een model, commit-berichten genereren, code reviewen, bugs opsporen. Daardoor valt er niets op. Maar op het moment dat je je sleutel invoert en op Apply klikt, slaat de instellingen-handler hem niet alleen lokaal op, hij stuurt hem ook door. Volgens Aikido-onderzoeker Ilyas Makari gebeurt dat zonder enige melding of toestemming: "De AI-provider-API-sleutel die je invoert wordt geexfiltreerd naar een server die de aanvaller beheert."
Die server staat op IP-adres 39.107.60.51 en wordt over onversleutelde HTTP benaderd. De vijftien plugins draaien op zeven verschillende uitgeversaccounts, maar delen vrijwel identieke code, een sterk teken van een gecoordineerde campagne in plaats van losse incidenten. Buitgemaakt worden sleutels voor OpenAI, DeepSeek en SiliconFlow, drie veelgebruikte AI-providers.
Een verdienmodel aan twee kanten
Het sluwe zit in de monetisering. De operator oogst gratis sleutels van nietsvermoedende ontwikkelaars, en levert betalende gebruikers vervolgens een sleutel terug vanaf zijn eigen server. Met andere woorden: hij verdient aan beide kanten, terwijl de echte eigenaren van de sleutels het verbruik betalen. De best gedownloade plugins zijn "DeepSeek AI Assist" (27.727 downloads) en "CodeGPT AI Assistant" (25.571 downloads). Of al die downloads echt zijn, is onzeker, maar de verspreiding is reeel.
De campagne loopt al een tijd: de eerste varianten verschenen eind oktober 2025, de nieuwste werd nog op 10 juni 2026 gepubliceerd. Dat plugins maandenlang door de handmatige review van de marktplaats glipten, laat zien hoe lastig dit soort misbruik te filteren is. JetBrains had op het moment van publicatie nog niet gereageerd, en de plugins stonden toen nog online.
Waarom dit groter is dan een paar plugins
Dit is een supply-chain-aanval: niet je eigen code is gekraakt, maar een schakel die je vertrouwt. Hetzelfde patroon dook eerder deze maand op bij andere AI-infrastructuur. Zo bleken drie kritieke lekken in de AI-gateway LiteLLM gewone gebruikers admin-rechten en code-uitvoering te geven, en wordt de Langflow-kwetsbaarheid CVE-2026-5027 actief misbruikt op self-hosted AI-tools. De rode draad: AI-tooling groeit sneller dan de beveiliging eromheen, en aanvallers richten zich precies op de sleutels en gateways die toegang geven tot dure modellen.
Voor een API-sleutel die lekt betaal je niet alleen de rekening van een vreemde. Een gestolen OpenAI- of DeepSeek-sleutel kan tot honderden of duizenden euro's verbruik leiden voordat je het doorhebt, geeft inzicht in welke modellen en prompts je bedrijf gebruikt, en in het ergste geval toegang tot data die via die API loopt.
Wat betekent dit voor jou
Gebruikt je team JetBrains-IDE's, dan is dit het moment om te handelen. Inventariseer welke plugins er geinstalleerd staan, verwijder elke AI-assistent die je niet honderd procent vertrouwt, en roteer onmiddellijk elke API-sleutel die je ooit in zo'n plugin hebt ingevoerd, zoals Aikido adviseert. Een sleutel die eenmaal is doorgestuurd, blijft bruikbaar tot je hem intrekt.
De diepere les is structureel. Wie AI-sleutels rechtstreeks in losse tools plakt, verspreidt zijn meest gevoelige credentials over tientallen plekken waar hij geen controle over heeft. Centraliseer je sleutels achter een eigen gateway, geef plugins liever scoped, snel-roteerbare tokens dan je hoofdsleutel, en behandel elke IDE-extensie als software die je code en credentials kan zien, want dat is precies wat ze kan. Vertrouwen op een marktplaats is geen vervanging voor zelf de regie houden over wie bij je sleutels kan.
