Los investigadores de ciberseguridad han señalado una «campaña coordinada de malware» en JetBrains Marketplace que publicó más de 15 complementos maliciosos que pueden robar claves de proveedores de inteligencia artificial (IA).
«Todos los complementos pretenden ser asistentes de codificación de IA creados en DeepSeek y otros modelos de lenguaje a gran escala, que brindan chat, mensajes de confirmación, revisiones de código, búsqueda de errores y pruebas unitarias», dijo el investigador de seguridad de Aikido, Ilyas Makari. «Funciona como se anuncia. Sin embargo, un servidor controlado por un atacante roba la clave API del proveedor de IA que ingresa».
Se dice que esta actividad ha estado en marcha desde finales de octubre de 2025, y recientemente se lanzó un nuevo complemento el 10 de junio de 2026. Dos de los complementos, CodeGPT AI Assistant y DeepSeek AI Assist, tienen cada uno más de 25.000 descargas, pero no está claro si esas cifras son reales o están infladas para disfrazar su popularidad.
La lista completa de complementos se encuentra a continuación:
DeepSeek Junit Testing (org.sm.YS.toolkit) DeepSeek Git Commit (com.json.simple.kit) DeepSeek FindBugs (org.bug.find.tools) DeepSeek AI Chat (org.translate.ai.simple) DeepSeek Dev AI (com.yy.test.ai.simple) DeepSeek AI Coding (com.dev.ai.toolkit) AI FindBugs (com.json.view.simple) AI Git Commitor (com.my.git.ai.kit) AI Coder Review (org.check.ai.ds) DeepSeek Coder AI (com.review.tool.code) AI Coder Assistant (org.code.assist.dev.tool) DeepSeek Code Review (com.coder.ai.dpt) CodeGPT AI Assistant (com.my.code.tools) DeepSeek AI Assist (ord.cp.code.ai.kit) Herramientas de codificación sencillas (com.dp.git.ai.tool)
Aikido Security dice que los 15 complementos comparten una base de código similar y requieren que los usuarios abran un panel de configuración e ingresen una clave API para AI como OpenAI, SiliconFlow y DeepSeek para realizar la funcionalidad prometida.
Aunque estos complementos funcionan según lo previsto, se ha descubierto que tienen una función encubierta que desvía subrepticiamente la clave API proporcionada a un servidor remoto bajo el control del atacante (‘39.107.60(.)51’) a través de una solicitud HTTP de texto sin cifrar.
«El complemento también tiene una versión paga», dijo la compañía. «Cuando un usuario paga una pequeña tarifa a través de un muro de donaciones integrado en el complemento, el servidor envía la clave API al cliente y el complemento comienza a usar esa clave para llamadas de modelos en lugar de la suya propia. Esto es extraño, porque los operadores legítimos no simplemente entregan claves sin restricciones que funcionan para los usuarios a proveedores de IA pagos».
Esto plantea la posibilidad de que los operadores detrás de la campaña estén compartiendo las claves API del proveedor de IA robadas con otros actores de amenazas como parte de un esquema de monetización fraudulento, convirtiéndolas efectivamente en un servicio que otorga a los usuarios pagos acceso al proveedor de IA de la víctima.
«El operador cobra dinero por un lado y recibe credenciales gratuitas por el otro, pero el propietario de la clave real paga la tarifa», añadió Macari.
Esta campaña es una prueba más de que los actores de amenazas se dirigen cada vez más a los entornos de desarrollo a través del ecosistema de código abierto. El ecosistema de código abierto se ha convertido en un objetivo lucrativo debido al hecho de que aloja código fuente, credenciales de nube, claves de firma y claves API para servicios pagos de IA que se revenden a esquemas de jacking LLM.
«Trate los complementos como trataría las dependencias que se ejecutan con sus propios privilegios y tenga cuidado de pegar secretos de larga duración en herramientas que no ha examinado», dice Aikido Security.
La extensión maliciosa de Chrome roba conversaciones de IA
Este desarrollo coincide con el descubrimiento de dos extensiones de bloqueador de anuncios de Google Chrome que capturan conversaciones de usuarios con chatbots de IA como OpenAI ChatGPT, Anthropic Claude, Google Gemini, Microsoft Copilot, Perplexity, DeepSeek, xAI Grok y Meta AI. Esta operación de recopilación de datos recibió el nombre en código «PromptSnatcher» del investigador Jean-Marie R. Kennedy.
Los nombres de las extensiones disponibles actualmente en Chrome Web Store son:
Smart Adblocker (ID: iojpcjjdfhlcbgjnpngcmaojmlokmeii): 90 000 usuarios (lanzado en octubre de 2022) Adblock for Browser (ID: jcbjcocinigpbgfpnhlpagidbmlngnnn): 10 000 usuarios (lanzado en agosto de 2023)
«Si bien la extensión aparece como un bloqueador de anuncios, viene con un motor de interceptación personalizado que registra conversaciones privadas, uso de modelos y metadatos de la capa de cuenta de todas las principales plataformas de inteligencia artificial (ChatGPT, Claude, Gemini, etc.)», dijeron los investigadores. «Esta estrategia utiliza una lista de filtros públicos legítimos (EasyList, IDCAC) como cobertura funcional para proporcionar una utilidad genuina de bloqueo de anuncios mientras se ejecuta un canal de telemetría privado».
El hecho de que las dos extensiones existan durante varios años indica que las actualizaciones relacionadas con la IA se han introducido en forma de actualizaciones de software.
Estos esfuerzos son parte de una técnica de ataque llamada caza furtiva rápida. En los últimos meses, se ha observado que extensiones de navegador, tanto legítimas como maliciosas, emplean este método para capturar de forma encubierta chats de IA. Lo que no está claro es si estas acciones violan la política de Google con respecto a las extensiones del navegador.
«La extensión intercepta el historial completo de conversaciones de IA, el uso del modelo y los niveles de suscripción de ocho plataformas y envía estos datos a la infraestructura controlada por el operador sin notificación al usuario, más allá de una cadena de consentimiento común de ‘protección mejorada'», dijeron los investigadores.
Source link
