إضافات خبيثة على سوق JetBrains تسرق مفاتيح API الخاصة بالذكاء الاصطناعي من 70 ألف مطوّر

أبرز النقاط

• 15 إضافة خبيثة تتنكر كأدوات ذكاء اصطناعي سرقت مفاتيح API من نحو 70 ألف مطوّر
• الحملة بدأت في أكتوبر 2025 واستمرت حتى يونيو 2026 عبر 7 حسابات ناشرة منسّقة
• المهاجمون يعيدون بيع المفاتيح المسروقة لمستخدمين آخرين ضمن نموذج اشتراك مدفوع

كشف باحثون أمنيون في شركة Aikido Security عن حملة منسّقة استهدفت مطوّري البرمجيات عبر 15 إضافة خبيثة على سوق JetBrains Marketplace، صُمِّمت خصيصاً لسرقة مفاتيح API الخاصة بخدمات الذكاء الاصطناعي مثل OpenAI وDeepSeek وSiliconFlow. الحملة التي امتدت قرابة ثمانية أشهر طالت ما يقرب من 70 ألف عملية تثبيت، ما يجعلها واحدة من أكبر عمليات الاختراق الموثّقة في أسواق إضافات بيئات التطوير المتكاملة.

كيف تعمل هذه الإضافات الخبيثة على سرقة بياناتك؟

تتنكّر الإضافات في صورة أدوات مساعدة للبرمجة بالذكاء الاصطناعي ومراجعة الأكواد وأدوات Git، وتعمل فعلياً كما هو معلن عنها لتجنّب الشكوك. لكن في اللحظة التي يضغط فيها المستخدم على زر "Apply" بعد إدخال مفتاح API، تُرسَل بيانات الاعتماد فوراً إلى خادم خارجي ثابت العنوان عبر بروتوكول HTTP غير مشفّر، تحديداً إلى العنوان 39.107.60.51.

اللافت أن جميع الإضافات الخمس عشرة تتشارك الشيفرة البرمجية ذاتها رغم نشرها تحت سبعة حسابات مختلفة، وهو مؤشر واضح على التنسيق المسبق بين المهاجمين. وقد تحقّق موقع BleepingComputer بشكل مستقل من أن إضافة DeepSeek AI Assist لا تزال تحتوي على الشيفرة الخبيثة حتى لحظة النشر.

نموذج عمل إجرامي: سرقة ثم إعادة بيع

يتضمن التحقيق تفصيلاً مثيراً: الإضافات تقدّم طبقة مدفوعة للمستخدمين. بعد دفع رسوم رمزية عبر بوابة تبرّع مدمجة، يحصل المستخدم على مفتاح API من الخادم البعيد تستخدمه الإضافة بدلاً من مفتاحه الشخصي. يشير الباحثون إلى أن هذه المفاتيح على الأرجح مسروقة من مستخدمي الطبقة المجانية، ما يعني أن المهاجمين حوّلوا العملية إلى نموذج تجاري قائم على إعادة تدوير البيانات المسروقة.

القائمة الكاملة للإضافات الخبيثة

• DeepSeek AI Assist — 27,727 تحميل (الأكثر انتشاراً)
• CodeGPT AI Assistant — 25,571 تحميل
• DeepSeek Junit Test
• DeepSeek Git Commit
• DeepSeek FindBugs
• DeepSeek AI Chat
• DeepSeek Dev AI
• DeepSeek AI Coding
• AI FindBugs
• AI Git Commitor
• AI Coder Review
• DeepSeek Coder AI
• AI Coder Assistant
• DeepSeek Code Review
• Coding Simple Tool

يحذّر الباحثون من أن أرقام التحميل قد تكون مضخّمة ولا تعكس بالضرورة عدد المستخدمين الفعليين، لكنها تظل مؤشراً على حجم الانتشار المحتمل.

لماذا يُعدّ هذا الاختراق مقلقاً بشكل خاص؟

بينما تتكرر تقارير الحزم الخبيثة على مستودعات مثل npm وPyPI، تبقى حوادث سرقة البيانات عبر سوق JetBrains نادرة نسبياً. هذا يعني أن كثيراً من المطورين يثقون بهذه المنصة أكثر من اللازم، ولا يطبّقون الحذر ذاته الذي يمارسونه مع مصادر أخرى. كما أن استخدام بروتوكول HTTP بدلاً من HTTPS يكشف بيانات الاعتماد لأي جهة تراقب حركة الشبكة.

تواصل موقع BleepingComputer مع شركة JetBrains للتعليق، لكنه لم يتلقَّ رداً حتى لحظة النشر، ما يثير تساؤلات حول سرعة الاستجابة وآليات الفحص الأمني المعتمدة في السوق.

ما الخطوات الفورية لحماية نفسك؟

• راجع قائمة الإضافات المثبّتة لديك فوراً واحذف أي إضافة من القائمة أعلاه
• أعِد توليد جميع مفاتيح API التي أدخلتها في إعدادات أي إضافة مشبوهة
• فعّل تنبيهات الاستخدام غير المعتاد على حساباتك في OpenAI وDeepSeek وغيرها
• راجع سجلات الفوترة بحثاً عن أي استهلاك غير مبرر قد يشير إلى استخدام غير مصرّح به

الأسئلة الشائعة

هل أزالت JetBrains الإضافات الخبيثة من السوق؟

حتى لحظة نشر التقرير الأصلي، كانت بعض الإضافات لا تزال متاحة للتحميل، ولم تصدر JetBrains بياناً رسمياً بعد.

كيف أعرف إن كان مفتاح API الخاص بي قد سُرق؟

راقب فواتير حسابك لدى مزوّد الذكاء الاصطناعي بحثاً عن استهلاك غير معتاد، وأعِد توليد المفتاح فوراً إذا استخدمت أياً من الإضافات المذكورة.

هل تؤثر هذه الحملة على مستخدمي VS Code أو بيئات تطوير أخرى؟

التقرير الحالي يقتصر على سوق JetBrains Marketplace، لكن المبدأ ذاته قد ينطبق على أسواق أخرى إن لم تُطبّق فحوصاً أمنية كافية.

ما أهمية استخدام HTTPS بدلاً من HTTP في هذا السياق؟

بروتوكول HTTP ينقل البيانات بنص واضح، ما يعني أن أي جهة على الشبكة يمكنها اعتراض المفاتيح أثناء إرسالها للخادم الخبيث.