Quinze plugins maliciosos no JetBrains Marketplace roubaram chaves de API da OpenAI, DeepSeek e SiliconFlow de cerca de 70 mil desenvolvedores entre outubro de 2025 e junho de 2026. As extensões funcionavam como ferramentas legítimas de IA — chat, revisão de código e geração de testes — mas exfiltravam silenciosamente as credenciais para um servidor controlado por atacantes. A JetBrains removeu os plugins em 16 de junho e baniu as sete contas envolvidas. Qualquer chave inserida nessas ferramentas deve ser revogada imediatamente.
Plugins falsos roubam chaves de IA
O que tornou a campanha especialmente perigosa é que as ferramentas funcionavam como anunciado — e era exatamente isso que mascarava o roubo. Quando um programador colava sua chave de acesso nas configurações e clicava em “Aplicar”, o plugin enviava a credencial em texto puro para um servidor controlado por atacantes, sem nenhum alerta ou erro aparente.
A campanha foi descoberta pela Aikido Security e confirmada pelo BleepingComputer, que baixou e analisou o código de um dos plugins e confirmou o roubo de credenciais ainda ativo em 16 de junho de 2026. A JetBrains removeu todas as extensões no mesmo dia e baniu permanentemente as sete contas de publicação envolvidas.
Oito meses de operação
A primeira extensão maliciosa foi publicada em outubro de 2025. A última, em 10 de junho de 2026. Durante esse período, os atacantes publicaram 15 plugins sob sete contas diferentes, todas com a mesma estrutura de código e o mesmo comportamento oculto. Os dois mais baixados — DeepSeek AI Assist e CodeGPT AI Assistant — somavam mais de 53 mil downloads, embora a Aikido alerte que os números podem ter sido inflados artificialmente para gerar falsa confiança.
O total de instalações gira em torno de 70 mil, segundo a Aikido. Esse volume representa um público global, mas o Brasil é o segundo maior mercado da JetBrains na América Latina, o que torna a ameaça localmente relevante.
Como funcionava o roubo
A mecânica era simples e eficaz. Os plugins ofereciam funcionalidades reais: chat com IA, geração de mensagens de commit, revisão de código, busca de bugs e geração de testes unitários. Eles funcionavam exatamente como anunciavam — usavam a chave do próprio usuário para chamar os modelos de IA. Essa legitimidade era o escudo perfeito.
O problema estava no que acontecia quando o desenvolvedor inseria sua chave de API e clicava em “Aplicar”. A The Hacker News detalhou que o plugin disparava simultaneamente duas ações: salvar a credencial localmente e enviá-la via HTTP não criptografado para o endereço IP 39.107.60.51, localizado em infraestrutura chinesa.
Para evitar que ferramentas de monitoramento de rede ou o próprio IDE flagassem a conexão suspeita, os plugins instalavam um manipulador X509TrustManager customizado na JVM, desativando os avisos padrão de TLS para certificados autoassinados e não assinados. A exfiltração era silenciosa e não gerava nenhum log visível.
Os 15 plugins maliciosos
Todos os plugins abaixo foram publicados sob sete contas diferentes e compartilhavam o mesmo código de exfiltração. A tabela lista os nomes de exibição e as funcionalidades prometidas:
| Plugin | Funcionalidade anunciada |
|---|---|
| DeepSeek AI Assist | Assistente de IA para código |
| CodeGPT AI Assistant | Assistente de código com IA |
| DeepSeek AI Coding | Codificação assistida por IA |
| DeepSeek Coder AI | Geração de código com DeepSeek |
| DeepSeek Code Review | Revisão de código automática |
| AI Coder Assistant | Auxiliar de programação |
| AI Coder Review | Revisão de código com IA |
| DeepSeek Junit Test | Geração de testes unitários |
| DeepSeek Git Commit | Mensagens de commit automáticas |
| DeepSeek FindBugs | Detecção de bugs no código |
| DeepSeek AI Chat | Chat com modelo de IA |
| DeepSeek Dev AI | Ferramenta de desenvolvimento IA |
| AI FindBugs | Busca de bugs inteligente |
| AI Git Commitor | Commit de código com IA |
| Coding Simple Tool | Ferramenta de codificação |
O esquema de revenda de chaves
O mais perturbador é que alguns plugins incluíam um modelo pago. Após o desenvolvedor pagar uma pequena taxa pela ferramenta, o servidor do atacante devolvia uma chave de API funcional para o plugin usar — quase certamente uma chave roubada de outra vítima. O atacante recebia pagamento de um lado, coletava credenciais do outro e repassava as chaves roubadas para quem pagasse.
Esse modelo criou uma economia circular de roubo: as chaves roubadas dos usuários gratuitos financiavam os usuários pagos, que por sua vez geravam receita para os atacantes. Os donos originais das chaves arcavam com os custos de uso nas contas da OpenAI, DeepSeek ou SiliconFlow, sem saber que suas credenciais estavam sendo consumidas por terceiros.
Por que passou despercebido
A cadeia de ataque explorou falhas estruturais na revisão do Marketplace. O Plugin Verifier da JetBrains foi projetado como verificador de compatibilidade e uso de API, não como scanner antimalware. Como as APIs principais usadas pelos plugins pareciam normais isoladamente, os endpoints hardcoded e as configurações TLS customizadas não foram detectados durante a ingestão inicial.
A JetBrains anunciou que está reforçando o pipeline de verificação com novas regras para bloquear endpoints não criptografados, injeções de X509TrustManager não autorizadas e gatilhos automáticos para plugins que manipulem configurações que se pareçam com chaves de API de provedores cloud.
Quem deve se preocupar
Qualquer desenvolvedor que instalou um dos 15 plugins afetados antes de 17 de junho de 2026 deve considerar suas chaves de API expostas. Os passos recomendados são:
- Revogar imediatamente qualquer chave de API inserida nesses plugins
- Gerar novas credenciais nos portais da OpenAI, DeepSeek ou SiliconFlow
- Revisar o histórico de uso faturado para identificar consumo anormal
- Quem utilizou o modelo pago deve tratar a chave recebida como comprometida
Essa campanha não é um caso isolado. Em maio, pacotes maliciosos no npm roubaram tokens do OpenAI Codex de desenvolvedores Node.js. O padrão é claro: os atacantes estão mirando em ferramentas de produtividade com IA porque os desenvolvedores tendem a colar chaves sensíveis sem verificar a procedência da extensão. Cada ferramenta que recebe uma chave de API deve ser tratada com o mesmo nível de desconfiança aplicado a qualquer dependência de código de terceiros.
Risco para o ecossistema de IA
O caso do JetBrains Marketplace se soma a uma onda de ataques à cadeia de suprimentos de ferramentas de IA. O conceito de LLMjacking — usar credenciais roubadas para consumir recursos de modelos de IA custeados por outras pessoas — está se consolidando como categoria própria de crime cibernético. Enquanto a indústria corrige o pipeline de verificação de plugins, o custo do descuido para o desenvolvedor é pago em dinheiro real nas faturas dos provedores de IA.
Referências
- Aikido Security — Multiple JetBrains IDE Plugins Caught Stealing AI Keys
- BleepingComputer — Malicious JetBrains Marketplace plugins steal AI API keys
- The Hacker News — Malicious JetBrains Plugins Steal AI API Keys
- JetBrains Blog — Marketplace Ecosystem Security Update
- TechGines — JetBrains Malicious AI Plugins: How 15 Fake IDE Extensions Stole API Keys