إضافات JetBrains الخبيثة: 15 أداة سرقت مفاتيح API للذكاء الاصطناعي

مقدمة تحليلية

اكتُشفت 15 إضافة خبيثة في JetBrains Marketplace سرقت مفاتيح API للذكاء الاصطناعي من ما يقرب من 70,000 مطور، وهو ما يمثل تهديداً أمنياً خطيراً يمس سلاسل توريد البرمجيات. كشفت حملة البرمجيات الخبيثة المنسقة هذه، التي اكتشفتها شركة Aikido Security، عن إضافات تتنكر في شكل مساعدين لبرمجة الذكاء الاصطناعي، وأدوات لمراجعة التعليمات البرمجية، وأدوات Git، وتستهدف مفاتيح API الخاصة بخدمات الذكاء الاصطناعي الشهيرة مثل OpenAI و DeepSeek و SiliconFlow. وقد تم تأكيد وجود الكود الخبيث بشكل مستقل من قبل BleepingComputer في إحدى هذه الإضافات، مما يؤكد مدى خطورة هذه الحملة على أمان بيئات التطوير وثقة المطورين في المنصات الرسمية. بدأت الإضافات الخبيثة في الظهور منذ أكتوبر 2025، واستمر نشر إضافات جديدة حتى 10 يونيو 2026. يعمل هذا الهجوم على استغلال الثقة الممنوحة للإضافات داخل بيئات التطوير المتكاملة (IDEs)، مما يعرض بيانات الاعتماد الحساسة للخطر ويمكن أن يؤدي إلى اختراقات أوسع نطاقاً، واستغلال للموارد الحوسبية المدفوعة للذكاء الاصطناعي، وتصعيد للامتيازات داخل أنظمة المطورين.

التحليل التقني

تتمثل الآلية الأساسية للسرقة في أن الإضافات تعمل بشكل طبيعي كما هو معلن عنها، لكنها تقوم سراً بنقل مفاتيح API الخاصة بالذكاء الاصطناعي التي يدخلها المستخدمون في إعدادات الإضافة. تحدث عملية السرقة عندما ينقر المستخدم على زر 'Apply' بعد إدخال مفتاح API، مما يؤدي إلى إرسال بيانات الاعتماد إلى خادم ثابت (hardcoded server) على IP `39.107.60[.]51` عبر بروتوكول HTTP غير المشفر، تحديداً إلى المسار `hxxp://39.107.60[.]51/api/software/key`. هذه الطريقة تزيد من المخاطر لأن البيانات لا يتم تشفيرها أثناء النقل، مما يسهل اعتراضها. تشارك جميع الإضافات الـ 15 المكتشفة نفس الكود الخبيث تقريباً، وقد تم إرسالها إلى Marketplace تحت سبعة حسابات بائعين مختلفة في محاولة للتهرب من الكشف. ومن الإضافات الأكثر تنزيلاً:

• DeepSeek AI Assist (ord.cp.code.ai.kit) بعدد 27,727 تنزيلاً.
• CodeGPT AI Assistant (com.my.code.tools) بعدد 25,571 تنزيلاً.

ومن المثير للقلق أن الباحثين اكتشفوا أيضاً وظيفة تسمح للخادم البعيد بتزويد المستخدمين المدفوعين بمفاتيح API للذكاء الاصطناعي. هذا يشير إلى أن مشغلي الإضافات قد يكونون يجمعون بيانات الاعتماد من المستخدمين المجانيين ثم يوفرونها للمستخدمين المدفوعين، مما يخلق نموذج عمل غير شرعي ومثير للريبة للغاية، حيث لا يقوم أي مشغل شرعي بتقديم مفاتيح API غير مقيدة لخدمات الذكاء الاصطناعي المدفوعة للمستخدمين.

السياق وتأثير السوق

على عكس المستودعات الأخرى مثل npm و PyPI، حيث يتم اكتشاف الحزم الخبيثة بشكل شائع، فإن التقارير عن الإضافات التي تسرق بيانات الاعتماد من خلال JetBrains Marketplace أقل شيوعاً بكثير. هذا يجعل الاكتشاف الحالي أكثر إثارة للقلق، لأنه يشير إلى أن حتى المنصات التي يُفترض أنها أكثر أماناً يمكن أن تكون عرضة للاستغلال. تتزايد أهمية هذا الحادث في سياق الاعتماد المتزايد على الذكاء الاصطناعي في عمليات التطوير، مما يجعل مفاتيح API للذكاء الاصطناعي أهدافاً جذابة للمهاجمين. يخلق هذا النوع من الهجمات موجات صدمة في سوق تطوير البرمجيات، حيث يهز ثقة المطورين في الأدوات والإضافات التي يعتمدون عليها يومياً. يمكن أن يؤدي ذلك إلى تدقيق أمني أشد صرامة من قبل JetBrains والمنصات الأخرى، بالإضافة إلى دفع المطورين لتبني ممارسات أمنية أكثر صرامة عند التعامل مع بيانات الاعتماد الحساسة. كما يسلط الضوء على الحاجة الملحة لوجود آليات تحقق وتدقيق أكثر فعالية للإضافات قبل نشرها، وخلال دورة حياتها، لمنع مثل هذه التهديدات من الوصول إلى قاعدة مستخدمين واسعة.

رؤية Glitch4Techs

من منظور Glitch4Techs، هذا الحادث يبرز ضعفاً خطيراً في سلسلة توريد البرمجيات، خاصة في بيئات التطوير التي تُعد حجر الزاوية في بناء الأنظمة الرقمية. أحد أبرز القيود هو بطء الاستجابة، أو عدم وجودها حتى الآن، من JetBrains نفسها، مما يترك آلاف المطورين عرضة للخطر لفترة أطول. كما أن الاعتماد على بروتوكول HTTP غير المشفر لنقل بيانات الاعتماد هو إهمال أمني فادح يعكس ضعفاً في التصميم الخبيث نفسه، ولكنه استغل ثغرة في ثقة المستخدم. تكمن المخاوف الأمنية الأكبر في أن الإضافات الخبيثة يمكنها أن تعمل كبوابات لهجمات أكثر تعقيداً، تتجاوز مجرد سرقة مفاتيح API. فمع القدرة على التحكم في الإضافات داخل بيئة تطوير، يمكن للمهاجمين تنفيذ تعليمات برمجية ضارة، أو إدخال أبواب خلفية في المشاريع التي يعمل عليها المطورون، مما يؤثر على أمان المنتجات النهائية. نتوقع أن يؤدي هذا الحادث إلى زيادة التدقيق على جميع الإضافات في متاجر البرامج، وتطوير أدوات جديدة للكشف عن الأنماط الخبيثة، وتعزيز الوعي الأمني بين المطورين حول كيفية التحقق من أمان الإضافات قبل تثبيتها. يجب على JetBrains الاستجابة بقوة، ليس فقط بإزالة الإضافات، ولكن أيضاً بتعزيز آليات الفحص والحماية لضمان عدم تكرار مثل هذه الحوادث في المستقبل.