Plugin JetBrains độc hại đánh cắp API key AI trong khi tiện ích Chrome thu thập dữ liệu Chatbot

Các nhà nghiên cứu an ninh mạng đã cảnh báo về một "chiến dịch phần mềm độc hại có phối hợp" trên JetBrains Marketplace với ít nhất 15 plugin độc hại có khả năng đánh cắp API key của các nhà cung cấp trí tuệ nhân tạo (AI). Mỗi plugin giả dạng là trợ lý lập trình AI dựa trên DeepSeek và các mô hình ngôn ngữ lớn khác, cung cấp các tính năng như chat, đánh giá mã nguồn và tìm lỗi, nhưng thực chất âm thầm gửi dữ liệu về máy chủ của kẻ tấn công.
Malicious JetBrains Plugins

Các nhà nghiên cứu an ninh mạng đã gắn cờ một "chiến dịch phần mềm độc hại có phối hợp" trên JetBrains Marketplace, nơi đã phát tán ít nhất 15 plugin độc hại có khả năng đánh cắp (exfiltrating) các khóa của nhà cung cấp trí tuệ nhân tạo (AI).

"Mỗi plugin đều giả dạng là một trợ lý lập trình AI được xây dựng trên DeepSeek và các mô hình ngôn ngữ lớn khác, cung cấp các tính năng như chat, thông điệp commit, đánh giá mã nguồn (code review), tìm lỗi và kiểm thử đơn vị (unit tests)," nhà nghiên cứu Ilyas Makari của Aikido Security cho biết. "Chúng hoạt động chính xác như quảng cáo. Tuy nhiên, API key của nhà cung cấp AI mà bạn nhập vào sẽ bị đánh cắp và gửi về một máy chủ do kẻ tấn công kiểm soát."

Hoạt động này được cho là đã diễn ra từ cuối tháng 10 năm 2025, với các plugin mới nhất được phát hành vào ngày 10 tháng 6 năm 2026. Hai trong số các plugin, CodeGPT AI Assistant và DeepSeek AI Assist, đã có hơn 25.000 lượt tải xuống mỗi loại, mặc dù chưa rõ các con số này là thật hay đã được thổi phồng để tạo lòng tin giả về mức độ phổ biến.

Dưới đây là danh sách đầy đủ các plugin độc hại:

  • DeepSeek Junit Test (org.sm.yms.toolkit)
  • DeepSeek Git Commit (com.json.simple.kit)
  • DeepSeek FindBugs (org.bug.find.tools)
  • DeepSeek AI Chat (org.translate.ai.simple)
  • DeepSeek Dev AI (com.yy.test.ai.simple)
  • DeepSeek AI Coding (com.dev.ai.toolkit)
  • AI FindBugs (com.json.view.simple)
  • AI Git Commitor (com.my.git.ai.kit)
  • AI Coder Review (org.check.ai.ds)
  • DeepSeek Coder AI (com.review.tool.code)
  • AI Coder Assistant (org.code.assist.dev.tool)
  • DeepSeek Code Review (com.coder.ai.dpt)
  • CodeGPT AI Assistant (com.my.code.tools)
  • DeepSeek AI Assist (ord.cp.code.ai.kit)
  • Coding Simple Tool (com.dp.git.ai.tool)

Aikido Security cho biết tất cả 15 plugin này đều chia sẻ một codebase tương tự nhau, yêu cầu người dùng mở bảng cài đặt và nhập API key cho các dịch vụ AI như OpenAI, SiliconFlow hoặc DeepSeek để thực hiện các chức năng đã hứa.

Mặc dù các plugin hoạt động đúng như mong đợi, chúng đã bị phát hiện lén lút chuyển các API key được cung cấp tới một máy chủ từ xa ("39.107.60[.]51") do kẻ tấn công kiểm soát thông qua một HTTP request ở định dạng plaintext.

"Các plugin này cũng vận hành một gói trả phí," công ty này cho biết. "Sau khi người dùng trả một khoản phí nhỏ thông qua trang quyên góp được tích hợp trong plugin, máy chủ sẽ gửi một API key ngược lại cho máy khách, và plugin bắt đầu sử dụng khóa đó cho các cuộc gọi mô hình thay vì khóa riêng của bạn. Điều này rất kỳ lạ, vì không có nhà vận hành hợp pháp nào lại cung cấp trực tiếp cho người dùng một khóa đang hoạt động và không bị giới hạn của một nhà cung cấp AI trả phí."

Điều này dấy lên khả năng những kẻ đứng sau chiến dịch có thể đang chia sẻ các API key AI trộm được với những tác nhân đe dọa khác như một phần của kế hoạch kiếm tiền bất chính, biến nó thành một dịch vụ cho phép người dùng trả phí truy cập vào tài khoản AI của nạn nhân.

"Kẻ điều hành thu tiền ở một bên và thu thập thông tin xác thực miễn phí ở bên kia, trong khi những chủ sở hữu khóa thực sự là người phải thanh toán hóa đơn," Makari nói thêm.

Chiến dịch này là bằng chứng rõ ràng hơn về việc các tác nhân đe dọa đang ngày càng nhắm mục tiêu vào môi trường của nhà phát triển thông qua hệ sinh thái mã nguồn mở. Đây trở thành mục tiêu béo bở vì chúng lưu trữ mã nguồn, thông tin xác thực đám mây (cloud credentials), khóa ký (signing keys) và API key cho các dịch vụ AI trả phí vốn có thể bị bán lại cho các kế hoạch LLMjacking.

"Hãy đối xử với một plugin giống như cách bạn đối xử với bất kỳ sự phụ thuộc nào (dependency) chạy với quyền hạn của bạn, và hãy cẩn trọng khi dán các bí mật dài hạn vào những công cụ mà bạn chưa kiểm chứng kỹ lưỡng," Aikido Security cảnh báo.

Tiện ích mở rộng Chrome độc hại đánh cắp cuộc trò chuyện AI

Sự việc này trùng khớp với việc phát hiện hai tiện ích mở rộng chặn quảng cáo trên Google Chrome bị bắt quả tang đang thu thập các cuộc trò chuyện của người dùng với các chatbot AI như OpenAI ChatGPT, Anthropic Claude, Google Gemini, Microsoft Copilot, Perplexity, DeepSeek, xAI Grok và Meta AI. Hoạt động thu thập dữ liệu này được nhà nghiên cứu Jean-Marie R. đặt mã danh là PromptSnatcher.

Tên của các tiện ích mở rộng này, hiện vẫn còn trên Chrome Web Store, bao gồm:

  • Smart Adblocker (ID: iojpcjjdfhlcbgjnpngcmaojmlokmeii) - 90.000 người dùng (Phát hành vào tháng 10 năm 2022)
  • Adblock for Browser (ID: jcbjcocinigpbgfpnhlpagidbmlngnnn) - 10.000 người dùng (Phát hành vào tháng 8 năm 2023)
"Mặc dù được giới thiệu là trình chặn quảng cáo, các tiện ích này chứa một công cụ đánh chặn được xây dựng tùy chỉnh để ghi lại các cuộc trò chuyện riêng tư, mức độ sử dụng mô hình và siêu dữ liệu cấp tài khoản từ mọi nền tảng AI lớn (ChatGPT, Claude, Gemini và những nền tảng khác)," nhà nghiên cứu cho biết. "Hoạt động này sử dụng các danh sách bộ lọc công khai hợp pháp (EasyList, IDCAC) làm vỏ bọc chức năng, cung cấp tiện ích chặn quảng cáo thực sự trong khi vẫn chạy một kênh đo từ xa (telemetry) không được tiết lộ."

Việc hai tiện ích này đã tồn tại trong vài năm cho thấy các tính năng trích xuất dữ liệu liên quan đến AI có thể đã được đưa vào dưới dạng các bản cập nhật phần mềm.

Các loại tấn công này thuộc danh mục được gọi là Prompt Poaching. Trong vài tháng qua, các tiện ích mở rộng trình duyệt, cả hợp pháp và độc hại, đã bị phát hiện áp dụng phương pháp này để âm thầm ghi lại các cuộc trò chuyện AI của người dùng dưới chiêu bài tăng cường Duyệt web an toàn (Safe Browsing) hoặc cung cấp các chỉ số lưu lượng hoặc tương tác chuyên sâu. Hiện vẫn chưa rõ liệu những thực hành này có vi phạm chính sách của Google đối với các tiện ích mở rộng trình duyệt hay không.

"Các tiện ích mở rộng này đánh chặn toàn bộ lịch sử trò chuyện AI, mức độ sử dụng mô hình và cấp độ đăng ký từ tám nền tảng, sau đó truyền dữ liệu này đến cơ sở hạ tầng do kẻ điều hành kiểm soát mà không có thông báo cho người dùng, ngoại trừ một chuỗi thông tin đồng ý 'Bảo vệ nâng cao' chung chung," nhà nghiên cứu lưu ý.