🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Pelo menos 15 plug-ins maliciosos encontrados no JetBrains Marketplace foram projetados para roubar chaves de API de IA de desenvolvedores.
A campanha, descoberta pela Aikido Security, inclui plug-ins que atuam como assistentes de codificação de IA, ferramentas de revisão de código e utilitários Git alimentados por serviços populares de IA, como OpenAI, DeepSeek e SiliconFlow.
“Detectamos uma campanha coordenada de malware no JetBrains Marketplace”, alerta Aikido.
“Pelo menos 15 plug-ins IDE, publicados em sete contas de fornecedores, compartilham o mesmo comportamento oculto. Cada um exfiltra a chave API do provedor de IA que você armazenou em suas configurações e, juntos, eles foram instalados cerca de 70.000 vezes.”
De acordo com o Aikido, os plugins maliciosos foram publicados pela primeira vez em outubro de 2025, com novos plugins continuando a ser publicados até 10 de junho de 2026.
Os pesquisadores dizem que os plug-ins funcionam conforme anunciado, mas transmitem secretamente aos invasores as chaves da API de IA inseridas pelos usuários nas configurações do plug-in.
De acordo com o relatório, o roubo ocorre quando um usuário clica em “Aplicar” após inserir uma chave de API, fazendo com que a credencial seja enviada para um servidor codificado em 39.107.60[.]51 por HTTP neste URL:
hxxp://39.107.60[.]51/api/software/key
Os pesquisadores descobriram que todos os 15 plug-ins compartilham códigos semelhantes que foram enviados como plug-ins diferentes do Marketplace.
O Aikido também descobriu uma funcionalidade que permite ao servidor remoto fornecer chaves de API de IA para usuários pagos.
Embora não esteja claro de onde vêm essas chaves de API, o Aikido teoriza que os operadores do plug-in podem estar coletando credenciais dos usuários gratuitos e, em seguida, fornecendo-as aos usuários pagos.
"Os plug-ins também executam um nível pago. Depois que um usuário paga uma pequena taxa através do painel de doações embutido no plug-in, o servidor envia uma chave de API de volta ao cliente, e o plug-in começa a usar essa chave para suas chamadas de modelo em vez de suas próprias, o que é bizarro, já que nenhum operador legítimo simplesmente entregaria a um usuário uma chave funcional e irrestrita para um provedor de IA pago", diz Aikido.
O BleepingComputer baixou e analisou a versão mais recente do plug-in DeepSeek AI Assist (ID do plug-in: ord.cp.code.ai.kit) e confirmou de forma independente que ele ainda contém o código de roubo de credencial descrito no relatório do Aikido.
No momento em que este artigo foi escrito, o plugin permanecia disponível para download no JetBrains Marketplace.
Os plugins de campanha descobertos pelo Aikido são:
Teste DeepSeek Junit (org.sm.yms.toolkit)
Confirmação do DeepSeek Git (com.json.simple.kit)
DeepSeek FindBugs (org.bug.find.tools)
Bate-papo DeepSeek AI (org.translate.ai.simple)
DeepSeek Dev AI (com.yy.test.ai.simple)
Codificação DeepSeek AI (com.dev.ai.toolkit)
AI FindBugs (com.json.view.simple)
Comissário Git de IA (com.my.git.ai.kit)
Revisão do codificador AI (org.check.ai.ds)
DeepSeek Coder AI (com.review.tool.code)
Assistente de codificador AI (org.code.assist.dev.tool)
Revisão de código DeepSeek (com.coder.ai.dpt)
Assistente CodeGPT AI (com.my.code.tools)
DeepSeek AI Assist (ord.cp.code.ai.kit)
Ferramenta simples de codificação (com.dp.git.ai.tool)
Os dois plug-ins mais baixados são DeepSeek AI Assist (27.727 downloads) e CodeGPT AI Assistant (25.571 downloads).
No entanto, os investigadores alertam que as contagens de downloads podem ser manipuladas e não devem necessariamente ser tratadas como instalações únicas.
Embora pacotes maliciosos sejam comumente descobertos em repositórios como npm e PyPI, relatos de plug-ins de roubo de credenciais distribuídos por meio do JetBrains Marketplace são muito menos comuns.
BleepingComputer contatou JetBrains sobre plug-ins maliciosos, mas não recebeu resposta até a publicação.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
A campanha, descoberta pela Aikido Security, inclui plug-ins que atuam como assistentes de codificação de IA, ferramentas de revisão de código e utilitários Git alimentados por serviços populares de IA, como OpenAI, DeepSeek e SiliconFlow.
“Detectamos uma campanha coordenada de malware no JetBrains Marketplace”, alerta Aikido.
“Pelo menos 15 plug-ins IDE, publicados em sete contas de fornecedores, compartilham o mesmo comportamento oculto. Cada um exfiltra a chave API do provedor de IA que você armazenou em suas configurações e, juntos, eles foram instalados cerca de 70.000 vezes.”
De acordo com o Aikido, os plugins maliciosos foram publicados pela primeira vez em outubro de 2025, com novos plugins continuando a ser publicados até 10 de junho de 2026.
Os pesquisadores dizem que os plug-ins funcionam conforme anunciado, mas transmitem secretamente aos invasores as chaves da API de IA inseridas pelos usuários nas configurações do plug-in.
De acordo com o relatório, o roubo ocorre quando um usuário clica em “Aplicar” após inserir uma chave de API, fazendo com que a credencial seja enviada para um servidor codificado em 39.107.60[.]51 por HTTP neste URL:
hxxp://39.107.60[.]51/api/software/key
Os pesquisadores descobriram que todos os 15 plug-ins compartilham códigos semelhantes que foram enviados como plug-ins diferentes do Marketplace.
O Aikido também descobriu uma funcionalidade que permite ao servidor remoto fornecer chaves de API de IA para usuários pagos.
Embora não esteja claro de onde vêm essas chaves de API, o Aikido teoriza que os operadores do plug-in podem estar coletando credenciais dos usuários gratuitos e, em seguida, fornecendo-as aos usuários pagos.
"Os plug-ins também executam um nível pago. Depois que um usuário paga uma pequena taxa através do painel de doações embutido no plug-in, o servidor envia uma chave de API de volta ao cliente, e o plug-in começa a usar essa chave para suas chamadas de modelo em vez de suas próprias, o que é bizarro, já que nenhum operador legítimo simplesmente entregaria a um usuário uma chave funcional e irrestrita para um provedor de IA pago", diz Aikido.
O BleepingComputer baixou e analisou a versão mais recente do plug-in DeepSeek AI Assist (ID do plug-in: ord.cp.code.ai.kit) e confirmou de forma independente que ele ainda contém o código de roubo de credencial descrito no relatório do Aikido.
No momento em que este artigo foi escrito, o plugin permanecia disponível para download no JetBrains Marketplace.
Os plugins de campanha descobertos pelo Aikido são:
Teste DeepSeek Junit (org.sm.yms.toolkit)
Confirmação do DeepSeek Git (com.json.simple.kit)
DeepSeek FindBugs (org.bug.find.tools)
Bate-papo DeepSeek AI (org.translate.ai.simple)
DeepSeek Dev AI (com.yy.test.ai.simple)
Codificação DeepSeek AI (com.dev.ai.toolkit)
AI FindBugs (com.json.view.simple)
Comissário Git de IA (com.my.git.ai.kit)
Revisão do codificador AI (org.check.ai.ds)
DeepSeek Coder AI (com.review.tool.code)
Assistente de codificador AI (org.code.assist.dev.tool)
Revisão de código DeepSeek (com.coder.ai.dpt)
Assistente CodeGPT AI (com.my.code.tools)
DeepSeek AI Assist (ord.cp.code.ai.kit)
Ferramenta simples de codificação (com.dp.git.ai.tool)
Os dois plug-ins mais baixados são DeepSeek AI Assist (27.727 downloads) e CodeGPT AI Assistant (25.571 downloads).
No entanto, os investigadores alertam que as contagens de downloads podem ser manipuladas e não devem necessariamente ser tratadas como instalações únicas.
Embora pacotes maliciosos sejam comumente descobertos em repositórios como npm e PyPI, relatos de plug-ins de roubo de credenciais distribuídos por meio do JetBrains Marketplace são muito menos comuns.
BleepingComputer contatou JetBrains sobre plug-ins maliciosos, mas não recebeu resposta até a publicação.
Teste todas as camadas antes que os invasores o façam
As equipes de segurança registram 54% dos ataques bem-sucedidos e alertam sobre apenas 14%. O restante se move pelo seu ambiente sem ser visto. O whitepaper do Picus mostra como a simulação de violação e ataque testa suas regras de SIEM e EDR para que as ameaças parem de escapar da detecção.
Obtenha o whitepaper
#samirnews #samir #news #boletimtec #plugins #maliciosos #do #jetbrains #marketplace #roubam #chaves #de #api #de #ia #de #desenvolvedores
⚡ Fique ligado: novidades e promoções em breve por aqui! ⚡
Postar um comentário