Оглавление

• Введение

• Shell скрипт установки. Первая линия компрометации.

• Java-агент и архитектура обхода защиты JetBrains IDEA

• Риски безопасности

• Возможные последствия

• Легальные альтернативы

Дисклеймер: в тексте для простоты используется название IntelliJ IDEA. Описанные механизмы активации, внедрения Java-агента и связанные с этим риски применимы ко всем IDE и продуктам JetBrains, использующим ту же платформу и архитектуру лицензирования.

Введение

Многие Java разработчики выбирают IntelliJ IDEA Ultimate для своей работы, но с уходом JetBrains из России и введением экспортных ограничений на покупку продуктов JetBrains возникли сложности с приобретением IntelliJ IDEA Ultimate. Некоторые из разработчиков начали использовать активаторы для IntelliJ IDEA. 

Один из популярных активаторов основан на одном из известных фреймворков для Java-агентов и распространяется в виде shell-скрипта, который можно запустить и он выполнит активацию продуктов JetBrains. Скрипт работает стабильно, и многие считают его "безобидной альтернативой" покупке лицензии. Но что на самом деле происходит, когда вы запускаете скрипт? Какой код выполняется в вашей системе? И главное — затрагивает ли этот "активатор" только проверку лицензии, или его влияние гораздо шире?

Мы изучили работу этого популярного активатора: проанализировали .sh скрипты и трансформеры байткода, проследили цепочки вызовов от высокоуровневых API до приватных методов в Java SDK.

В этой статье мы покажем основные технические детали. К концу вы поймёте:

• Что скачивается с неизвестных серверов и какой код получает полный доступ к внутренностям JVM

• Какие техники используются для сокрытия следов взлома 

• Как именно работает обход защиты на уровне Java Cryptography Architecture

• Почему патчится BigInteger#oddModPow() - фундаментальный метод для всей криптографии в JVM и какие побочные эффекты может иметь модификация криптографических примитивов для ваших проектов

Рассмотрим шаг за шагом работу активатора, начиная от shell-скрипта до модификации приватных методов стандартной библиотеки Java.

Shell скрипт установки. Первая линия компрометации. 

Запуск активатора выполняется при помощи .sh скрипта. Выглядит безобидно: скрипт приветствует нас сообщением: "Welcome to JetBrains Activation Tool" и ждет, пока пользователь нажмёт на Enter.

Инициализация окружения

После нажатия Enter выполняется инициализация окружения и сбор данных для лицензии: 

• определяет тип операционной системы 

• указываются пути к рабочим директориям скрипта 

• у пользователя запрашивается имя лицензии и дата окончания лицензии. По умолчанию дата устанавливается на 2099-12-31 — то есть лицензия на 75 лет вперёд. Ни одна лицензия не выдается на такой срок, это явный признак нелегального инструмента 

Установка зависимостей и первые опасности

Скрипт проверяет наличие необходимых утилит curl и jq (для работы с JSON) в системе и если их нет, то происходит автоматическая установка. Процесс установки отличается для операционных систем macOS и Linux. 

/bin/bash -c "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/HEAD/install.sh)

eval "$(/opt/homebrew/bin/brew shellenv)"

brew install curl jq

sudo apt install -y curl jq 
sudo dnf install -y curl jq 
sudo pacman -Sy --noconfirm curl jq 

Скачивание исполняемого кода и внедрение агента

Скачивание файлов с неизвестного сервера

Скрипт скачивает файлы со стороннего сервера. Этот сервер контролируется создателями активатора и не связан с JetBrains. Файлы размещаются в рабочей директории активатора. Скачиваемые файлы: 

• activator.jar - ядро агента, координирует работу плагинов 

• power.jar - модификация криптографии

• privacy.jar - сокрытие следов агента, исходников нет!

• dns.jar, url.jar, hideme.jar, native.jar

• конфигурации: power.conf, url.conf, dns.conf

Все файлы скачиваются без проверки контрольных сумм (SHA256/MD5) и без верификации цифровых подписей. Невозможно гарантировать, что содержимое JAR-файлов безопасно или что оно не изменится при повторном выполнении активатора. Завтра на сервере активатора может появиться совершенно другой код.

Внедрение агента в JVM

Скрипт модифицирует параметры виртуальной машины для JetBrains IDEA. В файл конфигурации VM добавляются следующие строки:

--add-opens=java.base/jdk.internal.org.objectweb.asm.tree=ALL-UNNAMED
--add-opens=java.base/jdk.internal.org.objectweb.asm=ALL-UNNAMED 
-javaagent:/Users/user/.jb_run/activator.jar

• Первые две строки открывают доступ к библиотеке ASM – инструменту для чтения и манипуляции байткода 

• Третья строка внедряет агента activator.jar в приложение JetBrains IDEA

Агент загружается до запуска основного приложения и получает полный контроль над JVM

Установка поддельной лицензии

Скрипт отправляет запрос на сервер активатора для получения файла лицензии. Файл лицензии сохраняется в конфигурационную директорию JetBrains IDEA. 

При следующем запуске IDE обнаружит этот файл и попытается проверить лицензию. Но проверка уже скомпрометирована — загруженный Java-агент подменит результаты. 

В следующем разделе мы погрузимся в работу Java-агента и увидим, как он модифицирует базовые операции на уровне стандартной библиотеки Java. 

Java-агент и архитектура обхода защиты JetBrains IDEA

После успешного запуска скрипта и внедрения параметра -javaagent:/path/to/activator.jar в конфигурацию IDE, при следующем запуске IntelliJ IDEA в JVM загружается Java-агент. 

Java Agent — это легитимная технология, встроенная в платформу Java. Технология при помощи Instrumentation API позволяет перехватывать и модифицировать байткод классов до их загрузки в JVM. Агенты в основном используются для сбора данных: как пример, для профилирования, мониторинга, определения покрытия кода, но способность модифицировать классы Java делает агенты мощным инструментом и одновременно опасным в недобросовестных руках.

Агент активатора построен на одном из известных фреймворков для Java-агентов — это не монолитный агент, а агент с возможностью загрузки плагинов. Каждый плагин отвечает за свою часть обхода защиты. Это модульная архитектура, которая позволяет легко добавлять новые техники обхода без изменения основного кода. Разберемся, что делает каждый из плагинов. 

Плагин URL

Плагин URL блокирует сетевые соединения для определенного списка URL. Плагин затрагивает класс sun.net.www.http.HttpClient, который используется многими библиотеками для HTTP.  Плагин инструментирует скрытый метод sun.net.www.http.HttpClient#openServer:

// Класс: sun.net.www.http.HttpClient
protected void openServer() {
    URL url = this.url;
    URLFilter.testURL(url); // Проверяет url по url.conf   
       
    //основная логика 
    …
}

Если URLFilter#testURL найдёт совпадение по URL с файлом url.conf, то будет выброшено исключение SocketTimeoutException и дальнейшее выполнение HTTP запроса прекратится. Таким образом, плагин имитирует таймаут подключения (SocketTimeoutException), создавая иллюзию недоступности сервера вместо явной блокировки.

 В нашем случае блокируются соединения с серверами лицензирования JetBrains:

• https://account.jetbrains.com.cn/lservice

• https://account.jetbrains.com.cn/lservice/rpc/validateKey.action 

• https://account.jetbrains.com.cn/lservice/rpc/validateLicense.action

• https://account.jetbrains.com.cn/lservice/rpc/obtainAgreement.action

• https://account.jetbrains.com.cn/lservice/rpc/obtainLicense.action

Плагин DNS

Плагин DNS блокирует вызовы разрешения доменного имени для определенного списка хостов. Плагин затрагивает класс java.net.InetAddress - фундаментальный класс Java для работы с IP-адресами и DNS. Плагин инструментирует методы:

•  java.net.InetAddress#getAllByName - публичный метод разрешения IP-адресов по хосту. Из описания JavaDoc: Given the name of a host, returns an array of its IP addresses, based on the system-wide resolver.

•  java.net.InetAddress#isReachable(java.net.NetworkInterface, int, int) - публичный метод доступности хоста. Из описания JavaDoc: Тest whether that address is reachable.

Инструментация выглядит следующим образом: 

// Класс: java.net.InetAddress
public static InetAddress[] getAllByName(String host) {

    // Проверяет host по dns.conf
    DNSFilter.testQuery(host);  // Проверяет host по dns.conf
    
    // оригинальная логика
}

// Класс: java.net.InetAddress
public boolean isReachable(NetworkInterface netif, int ttl, int timeout) 
        throws IOException {
    
    String hostName = this.holder.hostName;
    // Проверяет host по dns.conf

    boolean blocked = DNSFilter.testReachability(hostName);
    if (blocked) {
        return false;  // хост недоступен
    }

    // оригинальная логика    
}

Если DNSFilter#testQuery найдёт совпадение по хосту с файлом dns.conf, то будет выброшено исключение UnknownHostException, создавая иллюзию проблемы с разрешением DNS. Инструментация срабатывает раньше, чем JVM обращается к операционной системе для разрешения имени,  даже кэш DNS не помогает. Аналогичным образом работает инструментация для метода isReachable, но возвращается false (хост недоступен) вместо исключения.

Данное изменение затрагивает ВСЕ сетевые операции в JVM — любой код (ваш проект, плагины, библиотеки), использующий InetAddress, будет затронут блокировкой. 

При работе в связке с url плагином выстраивается многоуровневая защита: если запрос прошел DNS, его могут заблокировать на уровне HTTP, и наоборот.

В нашем случае блокируется разрешение DNS для доменного имени: jetbrains.com, поддомены в эту блокировку не входят.

Плагин Hideme

Плагин Hideme — позволяет сделать агент "невидимым" для детектирования со стороны виртуальной машины. JetBrains может попытаться обнаружить взлом разными способами, и Hideme блокирует каждый из них. 

Плагин инструментирует методы:

• java.lang.ClassLoader#loadClass - публичный метод загрузки класса по FQN. Из описания JavaDoc: Loads the class with the specified binary name.

• java.net.sun.management.VMManagementImpl#getVmArguments - публичный метод получения списка аргументов VM.

Для java.lang.ClassLoader инструментация выглядит следующим образом: 

// Класс: java.lang.ClassLoader
public Class<?> loadClass(String name) throws ClassNotFoundException {
    // Проверка по списку скрытых пакетов
    if (LoadClassRule.check(name)) {
        throw new ClassNotFoundException(name);
    }
    
    // оригинальная логика загрузки класса
}

При загрузке класса проверяется, находится ли FQN класса в списке скрытых пакетов (пакеты агента) и в этом случае выбрасывается исключение ClassNotFoundException.

Если IDE попытается загрузить класс агента, то будет ошибка класс не найден и IDE думает, что агента не существует.

Для java.net.sun.management.VMManagementImpl инструментация выглядит следующим образом: 

// Класс: sun.management.VMManagementImpl
public List<String> getVmArguments() {
    List<String> originalArgs = /* получить оригинальные аргументы */;
    
    // Фильтрация аргументов через VmArgumentFilter
    List<String> filteredArgs = new ArrayList<>();
    for (String arg : originalArgs) {
        // Удаляет -javaagent:, если он указывает на activator
        if (arg.startsWith("-javaagent:") && arg.contains("activator")) {
            continue;  // Пропускаем этот аргумент
        }
        
        filteredArgs.add(arg);
    }
    
    return filteredArgs;
}

По модификации видно, что из списка аргументов виртуальной машины скрывается агент: -javaagent:activator.jar, следовательно, IDE при проверке лицензирования для аргументов виртуальной машины вместо реальных значений, получит список в котором будет скрыт Java-агент. 

Таким образом JetBrains IDE не может обнаружить агента стандартными средствами. Плагин hideme модифицирует фундаментальные классы Java делая агент полностью невидимым. По используемым техникам агент функционально близок к rootkit’ам для JVM, использует те же техники, что и вредоносное ПО для сокрытия своего присутствия в системе. Но это еще не все техники скрытия, дополнительные мы еще рассмотрим в плагине Privacy.

Плагин Power

Плагин Power — самый опасный плагин в системе активатора. В отличие от плагинов URL и DNS, которые блокируют сетевые операции, плагин Power модифицирует фундаментальные криптографические примитивы Java. Его цель – подменить результаты операций модульного возведения в степень, которые используются для проверки лицензии JetBrains. Но последствия этой модификации затрагивают всю RSA-криптографию в JVM, а не только проверку лицензии.

Плагин затрагивает класс java.math.BigInteger – фундаментальный класс Java для работы с произвольно большими целыми числами. Плагин инструментирует приватный метод oddModPow(BigInteger exponent, BigInteger modulus) - метод модульного возведения в степень для нечётных модулей. Из JavaDoc по методу modPow(BigInteger exponent, BigInteger modulus) в котором используется наш приватный метод: Returns a BigInteger whose value is (this ^ exponent mod modulus)

Метод oddModPow() является приватным (private) методом класса BigInteger. В обычных условиях к нему невозможно обратиться извне класса. Но Java-агент с доступом к ASM может модифицировать даже приватные методы на уровне байткода.

Плагин применяет два типа трансформаций. Первая трансформация – это подмена аргументов. Инструментация выглядит следующим образом: 

// Класс: java.math.BigInteger
private BigInteger oddModPow(BigInteger exponent, BigInteger modulus) {
    BigInteger[] newArgs = ArgsFilter.testFilter(this, exponent, modulus);
    if (newArgs != null) {
        exponent = newArgs[0];                // exponent заменяется
        modulus = newArgs[1];                 // modulus заменяется
    }
    
    //оригинальные вычисления модульного возведения в степень, но с новыми ПОДМЕНЕННЫМИ аргументами
}

Эта инструментация позволяет подменить входные параметры операции: экспоненту или модуль. Вычисление выполняется, но с другими числами.

Вторая трансформация подменяет результат вычисления. Инструментация выглядит следующим образом: 

// Класс: java.math.BigInteger
private BigInteger oddModPow(BigInteger exponent, BigInteger modulus) {
    BigInteger forcedResult = ResultFilter.testFilter(this, exponent, modulus);
    if (forcedResult != null) {
        // Результат был предопределен в конфигурации - немедленный возврат в обход всех вычислений
        return forcedResult;
    }
    
    // оригинальные вычисления модульного возведения в степень, не выполняются если результат был подменен
}

Эта инструментация полностью обходит вычисления. Вместо того чтобы выполнять сложную математическую операцию, метод сразу возвращает предопределенное значение из конфигурационного файла power.conf. Например, конфигурации вида: 

[Result]
EQUAL,x,exponent1,modulus1->fakeResult

для операции x^exponent1 mod modulus1 вернёт предопределенный результат fakeResult.

Настройка плагина Power для активатора JetBrains IDEA использует только вторую трансформацию, рассмотрим поподробнее конфигурационный файл для JetBrains IDEA:

[Result] EQUAL,573073346913444247..., 

65537,
860106576952879101192782...,
 -> 3187221928140742420257... 

• Первая строка - основание степени

• Вторая строка - экспонента

• Третья строка - модуль

• После -> предопределенный результат, который должен вернуть метод.

Что происходит, когда метод oddModPow вызывается с основанием 573073... и экспонентой 65537 и модулем 86010…, вместо реального вычисления возвращается число 318722..., которое было заранее вычислено на сервере активатора.

Вернемся к криптографии. Операция модульного возведения в степень m^e mod (или как это реализовано в Java BigInteger#modPow и связанный с этим приватный метод oddModPow) – это фундаментальная операция для криптографии, в частности это базовая операция для RSA, который используется для шифрования и цифровой подписи. Подробности по работе алгоритма RSA можно посмотреть в Wiki, или в статье на Хабр. Кроме RSA, существуют и другие алгоритмы шифрования, которые используют модульное возведение в степень, такие как алгоритм Диффи-Хеллмана, DSA. 

Таким образом задача плагина Power подменить результаты работы операции модульного возведения в степень. Рассмотрим, как выглядит процедура обхода лицензии в JetBrains IDEA. Детально этот процесс мы представить не можем,  поскольку не имеем права декомпилировать код, можем лишь предположить как работает обход: 

• Файл лицензии idea.key генерируется на сервере активатора с приватным ключом, который никак не связан с JetBrains.

• IntelliJ IDEA читает лицензию и пытается проверить подпись публичным ключом JetBrains.

• При проверке вызывается метод BigInteger.oddModPow

• Плагин Power перехватывает этот вызов и подменяет результат предопределенным значением

• IDE получает "правильный" результат и считает подпись валидной

• Лицензия принимается, хотя она подписана чужим ключом

Поскольку плагин Power модифицирует операцию модульного возведения в степень не только для проверки лицензии в IDE, могут возникнуть уязвимости в произвольных местах при использовании криптографии в JVM. Это фундаментальный метод, используемый всей криптографией с открытым ключом в Java.

Компрометация RSA открывает путь для атак Man-in-the-Middle на весь HTTPS-трафик, включая Git-операции по HTTPS, API-запросы к облачным сервисам, аутентификацию в корпоративных системах, работу с базами данных (если соединение идет по SSL), загрузку зависимостей из Maven Central, NPM registry c возможностью подмены библиотек. Сценарий Man-in-the-Middle атаки может выглядеть следующим образом:

• Злоумышленник перехватывает трафик между вашей IDE и удалённым сервером (например, GitHub, AWS API, корпоративный сервер)

• Подсовывает поддельный SSL-сертификат, подписанный собственным "фальшивым CA"

• IDE проверяет подпись сертификата — вызывается BigInteger.oddModPow() для проверки RSA-подписи

• Плагин Power подменяет результат — если параметры операции совпадают с правилами в power.conf, проверка подписи вернёт "валидный" результат

• IDE принимает поддельный сертификат как валидный и устанавливает "защищённое" соединение

• Злоумышленник получает полный доступ к расшифрованному трафику: API-ключи, пароли, исходный код, credentials.

Использование взломанной IDE с плагином Power – равносильно работе в скомпрометированной криптографической среде, где нельзя доверять ни одной RSA-операции. Это не просто "обход проверки лицензии" –  это компрометация криптографической инфраструктуры всей JVM. Последствия могут затронуть безопасность ваших проектов, корпоративных систем и привести к юридическим проблемам.

Плагин Privacy

Плагин Privacy – кастомный закрытый плагин, исходный код которого недоступен в публичных репозиториях. В отличие от других плагинов (URL, DNS, Hideme, Power), которые размещены на Gitee с открытым исходным кодом, плагин Privacy распространяется только в виде скомпилированного JAR-файла. Для анализа его работы потребовалась декомпиляция байткода. Целью плагина является: модифицировать конкретные методы IntelliJ IDEA, отвечающие за проверку и отображение информации о лицензии, а также скрывать следы агента от встроенных средств детектирования IDE. 

Вкратце расскажем о выполняемых модификациях: 

• В классе com.intellij.diagnostic.VMOptions трансформация метода getUserOptionsFile возвращает пустой .vmoptions файл без -javaagent и метода readOption возвращает null для опций, содержащих "javaagent". Это позволяет скрыть следы использования агента -javaagent:activator.jar. 

• В классе sun/management/RuntimeImpl трансформация метода getInputArguments возвращает пустой список входных аргументов. Это позволяет скрыть настоящие входные параметры, включая агента -javaagent:activator.jar

• В классе, отвечающем за текущее состояние лицензии, метод получения даты истечения лицензии всегда возвращает дату на 60 дней вперед от текущего дня. Это позволяет в IDE считать лицензию всегда активной. 

Модификации, описанные выше, работают с дополнительной проверкой стектрейсов: стектрейсы анализируются на наличие методов проверяющих лицензию JetBrains. Это позволяет описанным выше модификациям работать только из кода проверки лицензии JetBrains, не затрагивая остальное использование тех же API.

Плагин Privacy — это специализированный слой обхода, настроенный конкретно под архитектуру IntelliJ IDEA и ее систему проверки лицензий. В сочетании с плагинами Hideme, Power, URL, DNS создаётся многоуровневая система сокрытия и проверки фиктивной лицензии. Эту систему крайне сложно обнаружить стандартными средствами.

Риски безопасности

После детального анализа активатора становится очевидно, что использование этого активатора может создать крит��ческие риски безопасности на всех уровнях системы.

1. Системный уровень: компрометация операционной системы

При установке зависимостей скрипт запрашивает пароль sudo, после чего получает root-доступ на ~15 минут. В течение этого времени скрипт может выполнять любые команды с правами администратора: создавать скрытых пользователей, модифицировать ssh конфиги, устанавливать бэкдоры или кейлогеры. 

2. Уровень JVM: полный контроль над виртуальной машиной

Java-агент получает полный контроль над JVM. Агент может читать весь исходный код ваших проектов, перехватывать пароли баз данных из конфигурационных файлов, SSH-ключи, API-токены и реквизиты доступа облачных сервисов. Он может модифицировать любой класс в runtime: от стандартной библиотеки Java до классов ваших приложений. Агент имеет доступ к сети и может отправлять собранные данные на внешние серверы, при этом домен активатора контролируется третьей стороной. В отличие от контейнеризации, агент работает в том же процессе, что и IDE – нет никаких барьеров между агентом и вашими данными.

3. Криптографический уровень: компрометация всей криптографии

Java-агент, и в частности плагин Power, модифицирует операцию модульного возведения в степень – фундаментальную операцию для всей криптографии с открытым ключом в Java. Это затрагивает не только проверку лицензии JetBrains, но и RSA-операции (проверку подписей, шифрование). Если параметры вашей криптографической операции случайно совпадут с правилами в power.conf, результат будет заменен, что может привести к компрометации защищенных соединений и неверной проверке подписей. 

4. Отсутствие контроля и доверия

Все конфигурационные файлы и JAR-файлы плагинов скачиваются с сервера активатора без проверки контрольных сумм, верификации цифровых подписей и возможности аудита. Завтра на сервере может появиться новый вредоносный код, изменённые правила подмены криптографии или бэкдоры – вы не контролируете, что именно выполняется в вашей системе. Плагин Privacy распространяется только в виде скомпилированного JAR без исходного кода, и даже после декомпиляции невозможно гарантировать отсутствие скрытых бэкдоров или логики сбора данных. 

Таким образом использование активатора JetBrains на основе Java-агента – это не просто обход проверки лицензии, а комплексная компрометация системы на всех уровнях. Операционная система получает root-доступ, JVM получает неограниченный контроль над вашим кодом и данными, криптография становится ненадежной, а вы теряете контроль над тем, что именно выполняется в вашей системе. Риски сопоставимы с намеренной установкой вредоносного ПО с правами администратора и полным доступом к вашим проектам, ключам и паролям.

5. Юридические и прочие риски

В первую очередь и разработчикам, и линейным руководителям, и CTO важно отдавать себе отчет: использование пиратского программного обеспечения — это прямое нарушение российского законодательства. Статья 146 УК РФ предусматривает уголовную ответственность за нарушение авторских прав, включая лишение свободы, уже при ущербе свыше 100 000 рублей.

Для одиночного разработчика эта граница может казаться далёкой, но в корпоративной среде она достигается крайне быстро. Достаточно двух нелегальных лицензий IntelliJ IDEA Ultimate, чтобы формально перейти в зону уголовной ответственности. А использование порядка 15 пиратских лицензий квалифицируется как особо крупный размер — с потенциальным наказанием до шести лет лишения свободы.

Возможные последствия

Отдельный риск — безопасность. Практика показывает, что пиратский софт нередко становится точкой входа для атак на ИТ-инфраструктуру, что может привести к простоям, потере данных и прямым финансовым убыткам. Конкретные кейсы приводить не будем — многие читатели и без того с ними знакомы и могут вспомнить собственные примеры.

Наконец, стоит учитывать и человеческий фактор. При любом серьезном инциденте внутри компании начинается поиск ответственных. В такой ситуации разработчик, установивший нелегальное ПО, легко может оказаться «крайним» — с рисками не только для карьеры, но и для личных финансов и свободы.

Легальные альтернативы

К счастью, брать на себя такие риски не требуется. На российском рынке уже существует альтернатива, изначально спроектированная с учетом этих ограничений — OpenIDE.

OpenIDE — это форк IntelliJ IDEA, развитие которого поддерживается консорциумом из трёх компаний: Haulmont, Группы компаний «Астра» и Axiom JDK. Такая модель снижает зависимость от одного вендора и делает проект более устойчивым в долгосрочной перспективе.

При этом OpenIDE — это не просто «замена IDE». Проект развивается как платформа: вокруг него формируется экосистема плагинов и сообщество разработчиков, которые могут создавать, публиковать и развивать собственные расширения. Это позволяет инструменту эволюционировать вместе с потребностями рынка, а не следовать за решениями одного центра влияния.

Скачивайте OpenIDE и пробуйте новые возможности в деле и подписывайтесь на нас в Telegram, чтобы не пропустить свежие обновления и полезные материалы. Мы активно развиваем IDE и всегда рады вашей обратной связи в чате!