Gefälschte JetBrains-Plugins stehlen eure KI-API-Keys

Du installierst in IntelliJ ein Plugin, das KI-gestützte Code-Reviews und Unit-Tests verspricht, trägst deinen API-Key für DeepSeek oder OpenAI ein, klickst auf Apply, und alles funktioniert wie beschrieben. In genau derselben Sekunde liegt dein Key schon auf einem fremden Server. Das ist die Masche von 15 Plugins, die das Sicherheitsunternehmen Aikido im offiziellen JetBrains Marketplace gefunden hat.

Was passiert ist

Aikido hat eine koordinierte Kampagne aus 15 Plugins entdeckt, veröffentlicht über sieben Anbieterkonten, zusammen knapp 70.000 Installationen. Alle geben sich als KI-Coding-Assistenten auf Basis von DeepSeek und anderen Sprachmodellen aus: Chat, Commit-Messages, Code-Review, Bug-Suche, Unit-Tests. Und sie liefern diese Funktionen auch. Der Haken steckt woanders.

Die ersten Plugins tauchten Ende Oktober 2025 auf, das jüngste am 10. Juni 2026. Ausgerechnet die beiden reichweitenstärksten sind die neuesten: DeepSeek AI Assist mit rund 27.700 und CodeGPT AI Assistant mit rund 25.600 Downloads, beide erst seit dem 09./10. Juni im Marketplace. Wie viele dieser Downloads echt sind, lässt sich nicht sagen: Die Listings enthalten gefälschte Fünf-Sterne-Bewertungen, und Download-Zahlen lassen sich leicht aufblasen. Zum Zeitpunkt der Berichte standen noch mehrere der Plugins online.

Wie der Diebstahl funktioniert

Es ist kein klassischer Schadcode, der den Rechner nach Passwörtern absucht. Der Diebstahl sitzt genau an der Stelle, an der du selbst den Key eingibst.

Du öffnest die Plugin-Einstellungen und fügst deinen API-Key ein, etwa für OpenAI, DeepSeek oder SiliconFlow. Das Plugin braucht den Key, um das Modell für dich aufzurufen, das Eintippen fühlt sich völlig normal an. In dem Moment, in dem du auf Apply klickst, speichert der Einstellungs-Handler den Key und schickt ihn gleichzeitig per save()-Aufruf an einen fest einprogrammierten Server unter 39.107.60[.]51, im Klartext, über unverschlüsseltes HTTP, ohne Nachfrage und ohne Hinweis in der Oberfläche. Der Code dafür ist nicht einmal verschleiert.

flowchart TB
  DEV["Du: API-Key in den Plugin-Settings"]
  DEV --> PLUG["Plugin: save()-Handler"]
  PLUG --> OK["Modell-Aufruf<br/>(funktioniert wie beworben)"]
  PLUG --> EXF["Heimlicher Versand an<br/>39.107.60[.]51<br/>(HTTP, Klartext, ohne Hinweis)"]
  EXF --> SRV["Angreifer-Server"]
  SRV --> SELL["Bezahlschranke:<br/>verkauft Keys weiter"]
  class EXF abort
  class SRV abort
  class SELL abort
  classDef abort fill:#7F1D1D,stroke:#EF4444,color:#FCA5A5

Der eingegebene Key wird beim Speichern gleichzeitig an einen Angreifer-Server geschickt, der die gestohlenen Schlüssel über eine Bezahlschranke weiterverkauft.

Der eigentliche Dreh: ein Handel mit geklauten Keys

Spätestens hier wird es bizarr. Die Plugins haben eine eingebaute Bezahlschranke. Wer eine kleine Gebühr zahlt, bekommt vom Server einen funktionierenden API-Key zurück, den das Plugin danach statt des eigenen verwendet. Kein seriöser Anbieter würde einem zahlenden Nutzer einfach einen unbeschränkten Schlüssel zu einem kostenpflichtigen KI-Dienst in die Hand drücken.

Die naheliegende Erklärung, die auch Aikido zieht: Die eine Gruppe von Opfern tippt eigene Keys ein, die der Server einsammelt. Die andere Gruppe zahlt und bekommt dafür einen funktionierenden Key, vermutlich einen der gestohlenen. Aus der Kampagne wird so ein Wiederverkauf fremder KI-Zugänge. Der Betreiber kassiert auf der einen Seite Geld und auf der anderen kostenlose Zugangsdaten, während die eigentlichen Besitzer die Rechnung zahlen.

Warum gerade Entwickler-IDEs?

Editor-Plugins sind zu einem beliebten Ziel für Supply-Chain-Angriffe geworden, parallel läuft mit GlassWorm eine ähnliche Kampagne gegen VS Code. Der Grund ist simpel: Die Entwickler-Maschine ist eine Schatztruhe. Auf ihr liegen Quellcode, Cloud-Zugangsdaten, Signing-Keys und inzwischen eben API-Keys für kostenpflichtige KI-Dienste, die sich weiterverkaufen oder für Rechenleistung verbrennen lassen. Ein Plugin läuft ohne Sandbox mitten in einem Werkzeug, dem man vertraut und das den ganzen Tag offen ist.

JetBrains prüft Plugins vor der Veröffentlichung manuell. Trotzdem rutschen ein paar Zeilen Logik, versteckt in einem ansonsten funktionierenden Plugin, durch. Die Lehre ist unbequem, aber alt: Ein Plugin ist eine Abhängigkeit, die mit deinen Rechten läuft, genau wie ein npm-Paket. Behandle es auch so. Wie schnell sich gefälschte KI-Pakete tarnen, haben wir schon beim npm-Vorfall mit Claude-Fakes gesehen.

Ein Wort zur Klarstellung: DeepSeek und OpenAI selbst haben damit nichts zu tun. Die Plugins missbrauchen nur deren bekannte Namen als Tarnung. Wer DeepSeek als offenes Modell schätzt, etwa für den DSGVO-konformen Eigenbetrieb, muss deshalb nichts überdenken. Das Problem sind die gefälschten Plugins, nicht die Modelle.

Was ihr jetzt tun müsst

Wenn du eins dieser Plugins installiert hast oder hattest, behandle jeden Key, den du dort eingegeben hast, als kompromittiert. Konkret heißt das:

Sofort widerrufen und neu erzeugen. Lösche die betroffenen API-Keys in den Dashboards von OpenAI, DeepSeek oder SiliconFlow und lege neue an. Solange der alte Key gültig ist, kann jemand auf deine Kosten Anfragen stellen.
Plugin entfernen und die Installation nicht wiederholen.
Abrechnung prüfen. Schau im Provider-Dashboard nach auffälligem Verbrauch.

Die betroffenen Plugins

Aikido nennt diese 15 Plugins (Name und Plugin-ID):

DeepSeek Junit Test (org.sm.yms.toolkit)
DeepSeek Git Commit (com.json.simple.kit)
DeepSeek FindBugs (org.bug.find.tools)
DeepSeek AI Chat (org.translate.ai.simple)
DeepSeek Dev AI (com.yy.test.ai.simple)
DeepSeek AI Coding (com.dev.ai.toolkit)
AI FindBugs (com.json.view.simple)
AI Git Commitor (com.my.git.ai.kit)
AI Coder Review (org.check.ai.ds)
DeepSeek Coder AI (com.review.tool.code)
AI Coder Assistant (org.code.assist.dev.tool)
DeepSeek Code Review (com.coder.ai.dpt)
CodeGPT AI Assistant (com.my.code.tools)
DeepSeek AI Assist (ord.cp.code.ai.kit)
Coding Simple Tool (com.dp.git.ai.tool)

Damit der nächste Fall weniger weh tut

Keys mit minimalen Rechten. Nutze, wo möglich, projekt- oder toolgebundene Keys mit Ausgabelimit statt eines einzigen Allzweck-Keys. Dann lässt sich ein einzelner Key gezielt widerrufen, ohne alles lahmzulegen.
Anbieter prüfen, nicht Sternchen. Download-Zahlen und Bewertungen lassen sich fälschen. Schau, wer hinter einem Plugin steht, wie lange es das schon gibt und ob eine nachvollziehbare Quelle dranhängt.
Datensparsamkeit als Reflex. Ein Tool, das deinen rohen Provider-Key sehen will, ist riskanter als eines, das über ein eigenes Gateway läuft. Je weniger Stellen deinen Schlüssel kennen, desto kleiner der Schaden, wenn eine davon faul ist.

Mehr dazu, wie ihr KI-Tools im Alltag absichert, steht im Leitfaden KI-Tools sicher nutzen.

Einordnung

Das Beunruhigende an diesem Fall ist, wie unspektakulär er ist. Kein ausgefeilter Exploit, keine verschleierte Schadroutine, nur ein paar offen lesbare Zeilen in einem sonst ehrlichen Plugin, auf einem offiziellen Marktplatz mit manueller Prüfung. Der KI-Boom liefert dazu die perfekte Tarnung: Es erscheinen ständig neue Plugins, die nach KI-Assistent aussehen, und genau dazwischen verstecken sich die Fallen.

Die Verteidigung ist keine neue Wissenschaft, sondern alte Hygiene auf ein neues Wertobjekt angewendet. Eure API-Keys sind zu Zugangsdaten geworden, die sich zu Geld machen lassen. Behandelt sie entsprechend.