JetBrains Marketplace'te 15 Kötü Amaçlı Eklenti: Geliştiricilerin API Anahtarları Çalınıyor Siber Güvenlik

JetBrains Marketplace'te 15 Kötü Amaçlı Eklenti: Geliştiricilerin API Anahtarları Çalınıyor

JetBrains Marketplace'te 15 kötü amaçlı IDE eklentisi, geliştiricilerin AI API anahtarlarını çalmak için kullanılıyor. Eklentiler 70.000'den fazla kez

Siber güvenlik araştırmacıları, geliştiricilerin yapay zeka API anahtarlarını çalmak için koordineli bir kampanya yürütüldüğünü ortaya çıkardı. Aikido Security tarafından yapılan incelemede, JetBrains Marketplace'te güvenlik kontrollerinden kaçmayı başaran en az 15 entegre geliştirme ortamı (IDE) eklentisi tespit edildi. Bu eklentiler toplamda yaklaşık 70.000 kez indirilmiş durumda. Ekim 2025'e kadar uzanan geçmişe sahip eklentilerin en yenisi ise Haziran 2026'da yayınlanmış.

Aikido Security'nin raporuna göre, her bir eklenti kendini DeepSeek ve diğer büyük dil modelleri üzerine inşa edilmiş bir AI kod asistanı olarak tanıtıyor. Sohbet, commit mesajları, kod incelemesi, hata bulma ve birim testleri gibi özellikler sunuyorlar. Eklentiler, reklamı yapıldığı gibi çalışıyor; ancak kullanıcının girdiği AI sağlayıcı API anahtarı, saldırganın kontrolündeki bir sunucuya sızdırılıyor. Bu durum, geliştiricilerin güvenli bir ortamda çalıştıklarını düşünürken aslında farkında olmadan hassas bilgilerini paylaştıkları anlamına geliyor.

Tespit edilen kötü amaçlı eklentilerin tümü benzer bir temel kod yapısını paylaşıyor. 'DeepSeek Git Commit' ve 'AI Coder Review' gibi isimlerle yer alan bu eklentiler, kullanıcıdan ayarlar panelini açıp OpenAI, SiliconFlow veya DeepSeek gibi bir sağlayıcı için API anahtarı girmesini istiyor. Eklentinin modeli kullanıcı adına çağırması için bu anahtar gerekli olduğundan, kullanıcılar bu işlemi rutin olarak görüyor. Ancak 'Apply' butonuna tıklanır tıklanmaz, ayarlar işleyicisi anahtarı kaydediyor ve aynı anda save() yöntemini kullanarak saldırgana iletiyor. Bu işlem, herhangi bir uyarı, onay ekranı veya kullanıcı arayüzünde herhangi bir bildirim olmaksızın gerçekleşiyor.

Teknik Analiz

Kampanyanın nihai hedefi henüz net değil. Ancak ücretli AI hizmetlerine bağlanan API anahtarları, yeniden satılabilir veya hesaplama gücü için kullanılabilir. Aikido Security, bu senaryonun ilk olasılık olduğunu düşünüyor. Eklentilerin ücretli bir katman içermesi dikkat çekici: Kullanıcı, eklentiye entegre edilmiş bağış duvarı aracılığıyla küçük bir ücret ödediğinde, sunucudan ilgili modele ücretsiz çağrı yapmak için bir API anahtarı alıyor. Araştırmacılar, bu anahtarların aslında kurbanlardan sızdırılmış API anahtarları olabileceğini ve kampanyanın, çalınan API erişimini etkili bir şekilde yeniden satan bir hizmete dönüştüğünü öne sürüyor.

Aikido Security'nin raporu, IDE'lerin tehdit aktörleri için giderek daha popüler bir hedef haline geldiğini vurguluyor. Bunun nedeni, IDE'lerin güvenilir olması, geliştiriciler tarafından gün boyu açık bırakılması ve kaynak kodu, bulut kimlik bilgileri, imzalama anahtarları ve API anahtarları gibi zengin verilere erişim sağlaması. Bu tür saldırılar, geliştiricilerin en temel araçlarını hedef alarak büyük çaplı veri sızıntılarına yol açabiliyor.

Uzmanların Görüşleri

Geliştiricilerin bu tür tehditlerden korunması için bazı önlemler alması gerekiyor. Öncelikle, JetBrains Marketplace gibi platformlardan eklenti indirirken, eklentinin geliştiricisini ve yorumlarını dikkatlice incelemek önemli. Ayrıca, API anahtarlarını yalnızca güvendiğiniz ve doğruladığınız eklentilerle paylaşmak, mümkünse API anahtarlarınızı düzenli olarak yenilemek ve gereksiz izinleri kısıtlamak da alınabilecek önlemler arasında. Aikido Security, tespit edilen kötü amaçlı eklentilere ilişkin IoC'leri (Gösterge Uzlaşma) blog yazısında paylaştı. Geliştiricilerin bu göstergeleri kullanarak sistemlerini taraması ve şüpheli etkinlikleri kontrol etmesi öneriliyor.

Kaynak: infosecurity-magazine.com

Paylaş: