Een hangslot bovenop een computertoetsenbord als symbool voor digitale beveiliging
Nieuws17 juni · 12:135 min leestijd

15 valse JetBrains-plugins stelen AI-API-sleutels van bijna 70.000 ontwikkelaars

Beveiligingsbedrijf Aikido Security vond vijftien kwaadaardige plugins in de JetBrains Marketplace die heimelijk OpenAI, DeepSeek en SiliconFlow API-sleutels doorsturen naar een aanvaller. Samen goed voor bijna 70.000 installaties.

Een AI-codeerassistent installeren in IntelliJ of PyCharm voelt onschuldig: je plakt je API-sleutel in de instellingen en de plugin doet de rest. Precies dat vertrouwen is misbruikt. Onderzoekers van beveiligingsbedrijf Aikido Security ontdekten vijftien kwaadaardige plugins in de officiële JetBrains Marketplace die zich voordoen als AI-hulpjes, maar je API-sleutel stilletjes doorsturen naar een server van de aanvaller. Samen zijn ze bijna 70.000 keer geïnstalleerd.

Wat er precies gebeurt

De plugins doen exact wat ze beloven: chatten met een model, commit-berichten genereren, code reviewen, bugs opsporen. Daardoor valt er niets op. Maar op het moment dat je je sleutel invoert en op Apply klikt, slaat de instellingen-handler hem niet alleen lokaal op, hij stuurt hem ook door. Volgens Aikido-onderzoeker Ilyas Makari gebeurt dat zonder enige melding of toestemming: "De AI-provider-API-sleutel die je invoert wordt geexfiltreerd naar een server die de aanvaller beheert."

Die server staat op IP-adres 39.107.60.51 en wordt over onversleutelde HTTP benaderd. De vijftien plugins draaien op zeven verschillende uitgeversaccounts, maar delen vrijwel identieke code, een sterk teken van een gecoordineerde campagne in plaats van losse incidenten. Buitgemaakt worden sleutels voor OpenAI, DeepSeek en SiliconFlow, drie veelgebruikte AI-providers.

Een verdienmodel aan twee kanten

Het sluwe zit in de monetisering. De operator oogst gratis sleutels van nietsvermoedende ontwikkelaars, en levert betalende gebruikers vervolgens een sleutel terug vanaf zijn eigen server. Met andere woorden: hij verdient aan beide kanten, terwijl de echte eigenaren van de sleutels het verbruik betalen. De best gedownloade plugins zijn "DeepSeek AI Assist" (27.727 downloads) en "CodeGPT AI Assistant" (25.571 downloads). Of al die downloads echt zijn, is onzeker, maar de verspreiding is reeel.

De campagne loopt al een tijd: de eerste varianten verschenen eind oktober 2025, de nieuwste werd nog op 10 juni 2026 gepubliceerd. Dat plugins maandenlang door de handmatige review van de marktplaats glipten, laat zien hoe lastig dit soort misbruik te filteren is. JetBrains had op het moment van publicatie nog niet gereageerd, en de plugins stonden toen nog online.

Waarom dit groter is dan een paar plugins

Dit is een supply-chain-aanval: niet je eigen code is gekraakt, maar een schakel die je vertrouwt. Hetzelfde patroon dook eerder deze maand op bij andere AI-infrastructuur. Zo bleken drie kritieke lekken in de AI-gateway LiteLLM gewone gebruikers admin-rechten en code-uitvoering te geven, en wordt de Langflow-kwetsbaarheid CVE-2026-5027 actief misbruikt op self-hosted AI-tools. De rode draad: AI-tooling groeit sneller dan de beveiliging eromheen, en aanvallers richten zich precies op de sleutels en gateways die toegang geven tot dure modellen.

Voor een API-sleutel die lekt betaal je niet alleen de rekening van een vreemde. Een gestolen OpenAI- of DeepSeek-sleutel kan tot honderden of duizenden euro's verbruik leiden voordat je het doorhebt, geeft inzicht in welke modellen en prompts je bedrijf gebruikt, en in het ergste geval toegang tot data die via die API loopt.

Wat betekent dit voor jou

Gebruikt je team JetBrains-IDE's, dan is dit het moment om te handelen. Inventariseer welke plugins er geinstalleerd staan, verwijder elke AI-assistent die je niet honderd procent vertrouwt, en roteer onmiddellijk elke API-sleutel die je ooit in zo'n plugin hebt ingevoerd, zoals Aikido adviseert. Een sleutel die eenmaal is doorgestuurd, blijft bruikbaar tot je hem intrekt.

De diepere les is structureel. Wie AI-sleutels rechtstreeks in losse tools plakt, verspreidt zijn meest gevoelige credentials over tientallen plekken waar hij geen controle over heeft. Centraliseer je sleutels achter een eigen gateway, geef plugins liever scoped, snel-roteerbare tokens dan je hoofdsleutel, en behandel elke IDE-extensie als software die je code en credentials kan zien, want dat is precies wat ze kan. Vertrouwen op een marktplaats is geen vervanging voor zelf de regie houden over wie bij je sleutels kan.

Veelgestelde vragen

Alisina Nawabi
Geschreven doorAlisina Nawabi

AI Product Engineer & Solutions Architect

Grip op je AI-sleutels

Ik help je je AI-tooling veilig inrichten, van het centraliseren van API-sleutels achter een eigen gateway tot het end-to-end ontwerpen, bouwen en automatiseren van een stack die je zelf in de hand houdt, self-hosted waar dat kan.

Meer informatie

Dit artikel is geproduceerd samen met het Agent Team. Meer over de redactie.

Genoemde integraties

Dit artikel noemt deze tools. Ik koppel ze op maat aan je eigen systemen.

Gerelateerde artikelen

Je AI-toolchain is je nieuwe aanvalsoppervlak
Inzicht
8 min

20 jun 09:00

Je AI-toolchain is je nieuwe aanvalsoppervlak

Van npm-pakketten tot IDE-plugins tot zelfgehoste gateways: elke laag van je AI-stack is een actief aanvalspad geworden. Zonder supply chain beleid loop je nu al risico.

Je AI-automatiseringsstack beveiligen tegen supply chain-aanvallen: van npm tot Langflow
Gids
10 min

24 jun 13:05

Je AI-automatiseringsstack beveiligen tegen supply chain-aanvallen: van npm tot Langflow

Het grootste deel van je AI-stack is code van vreemden. Zo leg je elke afhankelijkheid vast, verifieer je herkomst en houd je Langflow en LiteLLM dicht, stap voor stap.

F5 dicht twee kritieke NGINX-lekken: webservers wereldwijd moeten nu patchen
Nieuws
5 min

18 jun 20:19

F5 dicht twee kritieke NGINX-lekken: webservers wereldwijd moeten nu patchen

F5 bracht buiten de reguliere cyclus om noodpatches uit voor twee kritieke NGINX-lekken met CVSS 9,2. Onbevoegde aanvallers kunnen op afstand servers platleggen of code uitvoeren. Wie zelf NGINX draait, moet vandaag handelen.

Je zelfgehoste AI-gateway hardenen: van standaardinstellingen naar productie-veilig
Gids
9 min

17 jun 15:00

Je zelfgehoste AI-gateway hardenen: van standaardinstellingen naar productie-veilig

Een AI-gateway als LiteLLM of Langflow staat standaard veel te open. Dit is het stappenplan om hem dicht te zetten: authenticatie, netwerk, sleutels, rate-limits, patches en monitoring.

Kritieke Langflow-kwetsbaarheid CVE-2026-5027 wordt actief misbruikt: patch nu
Nieuws
4 min

16 jun 04:34

Kritieke Langflow-kwetsbaarheid CVE-2026-5027 wordt actief misbruikt: patch nu

Een kritiek lek in de populaire AI-workflowbouwer Langflow wordt actief misbruikt. Aanvallers kunnen zonder in te loggen code uitvoeren op je server. Draai je Langflow zelf, dan is directe actie nodig.

Chinese modellen bezetten OpenRouter-top tien, alleen Anthropic houdt stand voor de VS
Nieuws
4 min

10 jul 20:21

Chinese modellen bezetten OpenRouter-top tien, alleen Anthropic houdt stand voor de VS

Chinese AI-modellen bezetten acht van de tien drukst gebruikte plekken op OpenRouter. OpenAI en Google vielen volledig uit de top tien. Van de Amerikanen houdt alleen Anthropic met Claude nog stand.