Các Plugin JetBrains Độc Hại Đánh Cắp API Key AI Trong Khi Các Tiện Ích Chrome Thu Thập Nội Dung Chatbot

Các nhà nghiên cứu an ninh mạng vừa cảnh báo về một "chiến dịch phần mềm độc hại có phối hợp" trên JetBrains Marketplace với ít nhất 15 plugin độc hại có khả năng đánh cắp API key của các nhà cung cấp trí tuệ nhân tạo (AI). Mỗi plugin đều mạo danh là trợ lý lập trình AI được xây dựng trên DeepSeek và các mô hình ngôn ngữ lớn khác, cung cấp các tính năng như chat, commit message, đánh giá mã nguồn, tìm lỗi và kiểm thử đơn vị.
Malicious JetBrains Plugins and Chrome Extensions

Các nhà nghiên cứu an ninh mạng đã gắn cờ một "chiến dịch phần mềm độc hại có phối hợp" trên JetBrains Marketplace, nơi đã xuất bản không dưới 15 plugin độc hại có khả năng đánh cắp API key của các nhà cung cấp trí tuệ nhân tạo (AI).

"Mỗi plugin đều mạo danh là trợ lý lập trình AI được xây dựng trên DeepSeek và các mô hình ngôn ngữ lớn khác, cung cấp các tính năng như chat, commit message, đánh giá mã nguồn, tìm lỗi và kiểm thử đơn vị," nhà nghiên cứu Ilyas Makari từ Aikido Security cho biết. "Chúng hoạt động chính xác như những gì được quảng cáo. Tuy nhiên, API key mà bạn nhập vào sẽ bị đánh cắp và gửi về máy chủ do kẻ tấn công kiểm soát."

Hoạt động này được cho là đã diễn ra từ cuối tháng 10 năm 2025, với các plugin mới nhất được phát hành vào ngày 10 tháng 6 năm 2026. Hai trong số các plugin, CodeGPT AI Assistant và DeepSeek AI Assist, đã có hơn 25.000 lượt tải xuống mỗi loại, mặc dù không rõ con số này là thực hay đã được thổi phồng để tạo lòng tin ảo.

Danh sách đầy đủ các plugin độc hại bao gồm:

  • DeepSeek Junit Test (org.sm.yms.toolkit)
  • DeepSeek Git Commit (com.json.simple.kit)
  • DeepSeek FindBugs (org.bug.find.tools)
  • DeepSeek AI Chat (org.translate.ai.simple)
  • DeepSeek Dev AI (com.yy.test.ai.simple)
  • DeepSeek AI Coding (com.dev.ai.toolkit)
  • AI FindBugs (com.json.view.simple)
  • AI Git Commitor (com.my.git.ai.kit)
  • AI Coder Review (org.check.ai.ds)
  • DeepSeek Coder AI (com.review.tool.code)
  • AI Coder Assistant (org.code.assist.dev.tool)
  • DeepSeek Code Review (com.coder.ai.dpt)
  • CodeGPT AI Assistant (com.my.code.tools)
  • DeepSeek AI Assist (ord.cp.code.ai.kit)
  • Coding Simple Tool (com.dp.git.ai.tool)

Aikido Security cho biết tất cả 15 plugin này đều chia sẻ một mã nguồn tương tự, yêu cầu người dùng mở bảng cài đặt và nhập API key của các dịch vụ như OpenAI, SiliconFlow, hoặc DeepSeek để thực hiện các chức năng đã hứa.

Mặc dù các plugin hoạt động đúng như dự kiến, chúng đã bị phát hiện có khả năng lén lút chuyển hướng các API key được cung cấp tới một máy chủ từ xa ("39.107.60[.]51") dưới sự kiểm soát của kẻ tấn công thông qua yêu cầu HTTP ở định dạng văn bản thuần túy (plaintext).

"Các plugin này cũng chạy một gói trả phí," công ty cho biết. "Sau khi người dùng trả một khoản phí nhỏ thông qua trang quyên góp tích hợp trong plugin, máy chủ sẽ gửi lại một API key cho ứng dụng khách và plugin sẽ bắt đầu sử dụng khóa đó cho các lệnh gọi mô hình thay vì khóa của chính bạn. Điều này rất kỳ lạ, vì không có nhà điều hành hợp pháp nào lại cung cấp trực tiếp một API key đang hoạt động và không bị giới hạn của một nhà cung cấp AI trả phí cho người dùng."

Điều này làm dấy lên khả năng những kẻ đứng sau chiến dịch đang chia sẻ các API key đánh cắp được với các tác nhân đe dọa khác như một phần của kế hoạch kiếm tiền bất chính, biến nó thành một dịch vụ cấp quyền truy cập vào tài khoản AI của nạn nhân cho những người dùng trả phí khác.

"Kẻ điều hành thu tiền ở một đầu và thu thập thông tin đăng nhập miễn phí ở đầu kia, trong khi những chủ sở hữu khóa thực sự phải trả hóa đơn," Makari nói thêm.

Chiến dịch này là minh chứng rõ hơn cho việc các tác nhân đe dọa đang ngày càng nhắm mục tiêu vào môi trường phát triển thông qua hệ sinh thái mã nguồn mở. Đây là mục tiêu béo bở vì chúng lưu trữ mã nguồn, thông tin đăng nhập đám mây, khóa ký và API key cho các dịch vụ AI trả phí, vốn có thể bị bán lại cho các kế hoạch LLMjacking.

"Hãy đối xử với một plugin giống như cách bạn đối xử với bất kỳ sự phụ thuộc (dependency) nào chạy với quyền hạn của bạn, và hãy thận trọng khi dán các bí mật dài hạn vào những công cụ mà bạn chưa kiểm chứng," Aikido Security khuyến nghị.

Các tiện ích Chrome độc hại đánh cắp cuộc hội thoại AI

Sự việc này trùng hợp với việc phát hiện ra hai tiện ích chặn quảng cáo trên Google Chrome bị bắt quả tang đang thu thập các cuộc hội thoại của người dùng với các chatbot AI như OpenAI ChatGPT, Anthropic Claude, Google Gemini, Microsoft Copilot, Perplexity, DeepSeek, xAI Grok và Meta AI. Hoạt động thu thập dữ liệu này đã được nhà nghiên cứu Jean-Marie R đặt mật danh là PromptSnatcher.

Tên của các tiện ích mở rộng này, hiện vẫn còn trên Chrome Web Store, bao gồm:

  • Smart Adblocker (ID: iojpcjjdfhlcbgjnpngcmaojmlokmeii) - 90.000 người dùng (Xuất bản vào tháng 10 năm 2022)
  • Adblock for Browser (ID: jcbjcocinigpbgfpnhlpagidbmlngnnn) - 10.000 người dùng (Xuất bản vào tháng 8 năm 2023)
"Mặc dù được giới thiệu là trình chặn quảng cáo, các tiện ích này tích hợp một công cụ chặn tùy chỉnh để ghi lại các cuộc hội thoại không công khai, việc sử dụng mô hình và siêu dữ liệu cấp tài khoản từ mọi nền tảng AI lớn (ChatGPT, Claude, Gemini và các nền tảng khác)," nhà nghiên cứu cho biết. "Hoạt động này sử dụng các danh sách bộ lọc công khai hợp pháp (EasyList, IDCAC) làm vỏ bọc chức năng, cung cấp tiện ích chặn quảng cáo thực sự trong khi vận hành một kênh thu thập dữ liệu bí mật."

Việc hai tiện ích này đã tồn tại trong vài năm cho thấy các tính năng liên quan đến AI đã được đưa vào thông qua các bản cập nhật phần mềm sau này.

Những nỗ lực này là một phần của kỹ thuật tấn công được gọi là Prompt Poaching. Trong vài tháng qua, nhiều tiện ích trình duyệt, cả hợp pháp và độc hại, đã bị phát hiện áp dụng phương pháp này để lén lút thu thập các cuộc chat AI. Hiện vẫn chưa rõ liệu những hành vi này có vi phạm chính sách của Google đối với các tiện ích trình duyệt hay không.

"Các tiện ích mở rộng này chặn toàn bộ lịch sử hội thoại AI, việc sử dụng mô hình và gói đăng ký từ tám nền tảng, sau đó truyền dữ liệu này đến cơ sở hạ tầng do kẻ điều hành kiểm soát mà không thông báo cho người dùng, ngoại trừ một chuỗi đồng thuận 'Bảo vệ nâng cao' chung chung," nhà nghiên cứu lưu ý.