كشف باحثون في الأمن السيبراني عن حملة خبيثة منسقة تستهدف المطورين ومستخدمي منصات الذكاء الاصطناعي، عبر إضافات JetBrains مزيفة وامتدادات Chrome خبيثة، ما يسلط الضوء على خطورة سلاسل التوريد المفتوحة المصدر وبيئات العمل البرمجية.
إضافات JetBrains الخبيثة
تم رصد ما لا يقل عن 15 إضافة منشورة على JetBrains Marketplace، جميعها تتظاهر بأنها مساعدين برمجيين يعتمدون على نماذج مثل DeepSeek وCodeGPT.
الإضافات تعمل كما هو معلن (مراجعة الكود، كتابة الرسائل، اكتشاف الأخطاء)، لكنها في الخلفية تقوم بسرقة مفاتيح واجهات برمجة التطبيقات (API Keys) الخاصة بمزودي الذكاء الاصطناعي مثل OpenAI وSiliconFlow وDeepSeek، وترسلها إلى خادم المهاجم عبر طلبات HTTP غير مشفرة.
اللافت أن بعض هذه الإضافات تجاوزت 25 ألف تنزيل، ما يضاعف من احتمالية انتشارها بين المطورين.
آلية الاستغلال
- يطلب كل مكون إضافي من المستخدم إدخال مفتاح API في لوحة الإعدادات.
- يتم إرسال المفتاح إلى خادم المهاجم (39.107.60[.]51).
- بعض الإضافات توفر “خدمة مدفوعة”، حيث يحصل المستخدم على مفتاح جاهز من الخادم، وهو مؤشر على وجود مخطط لتبادل المفاتيح المسروقة بين المهاجمين والمستخدمين الآخرين.
هذا النموذج يتيح للمهاجمين جني الأموال من جهة، والحصول على بيانات اعتماد مجانية من جهة أخرى، بينما يتحمل أصحاب المفاتيح الحقيقيون التكلفة.
امتدادات Chrome الخبيثة
بالتوازي، تم اكتشاف امتدادين على Chrome Web Store يتنكران كمانعات إعلانات:
- Smart Adblocker (90,000 مستخدم)
- Adblock for Browser (10,000 مستخدم)
هذه الامتدادات تحتوي على محرك اعتراض مخصص يقوم بتسجيل محادثات المستخدمين مع منصات الذكاء الاصطناعي مثل ChatGPT، Claude، Gemini، Copilot، Perplexity، DeepSeek، Grok، Meta AI.
الهجوم، المسمى PromptSnatcher، يستغل تحديثات البرامج لإضافة وظائف خفية لسرقة المحادثات، مع الاستمرار في تقديم خدمة حقيقية لحجب الإعلانات كغطاء.
خطر “Prompt Poaching”
هذا النوع من الهجمات يُعرف بـ Prompt Poaching، حيث يتم اعتراض المحادثات مع نماذج الذكاء الاصطناعي دون علم المستخدم، ما يفتح الباب أمام سرقة الأفكار، البيانات الحساسة، أو حتى استغلال الاشتراكات المدفوعة.
الامتدادات ترسل البيانات إلى بنية تحت سيطرة المهاجمين، دون أي إشعار واضح للمستخدم سوى رسالة عامة عن “الحماية المحسّنة”.
