TokyoBlackHatNews

bleepingcomputer.com 5分で読了

JetBrainsマーケットプレイスに悪意あるプラグイン――開発者のAI APIキーを窃取

JetBrains Marketplaceで少なくとも15本の悪意あるプラグインが発見されました。いずれも開発者のAI APIキーを盗み取ることを目的としたものです。

Aikido Securityが発見したこのキャンペーンでは、OpenAI、DeepSeek、SiliconFlowといった人気AIサービスを活用したコーディングアシスタント、コードレビューツール、Gitユーティリティを装ったプラグインが使用されていました。

「JetBrains Marketplace上で組織的なマルウェアキャンペーンを検出しました」とAikidoは警告しています

「7つのベンダーアカウントの下で公開された少なくとも15本のIDEプラグインが、同一の隠れた不正動作を共有しています。それぞれのプラグインは、ユーザーが設定画面に入力したAIプロバイダーのAPIキーを外部に送信しており、これらのプラグインを合わせたインストール数は7万件近くに上ります。」

Aikidoによると、悪意あるプラグインは2025年10月に初めて公開され、直近では2026年6月10日まで新たなプラグインの公開が続いていたとのことです。

研究者たちによれば、これらのプラグインは表向きは謳われた機能を果たしつつ、ユーザーがプラグインの設定画面に入力したAI APIキーをひそかに攻撃者へ送信しているとのことです。

報告書によると、窃取はユーザーがAPIキーを入力して「Apply」をクリックした瞬間に発生します。入力された認証情報は、ハードコードされたサーバー 39.107.60[.]51 へ、以下のURLを通じてHTTPで送信されます。

hxxp://39.107.60[.]51/api/software/key

研究者たちは、15本すべてのプラグインが類似したコードを共有しており、別々のマーケットプレイスプラグインとして提出されていたことを確認しました。

また、Aikidoはリモートサーバーが有料ユーザーにAI APIキーを提供する機能も発見しています。

これらのAPIキーの入手経路は不明ですが、Aikidoは無料ユーザーから収集した認証情報を有料ユーザーに提供している可能性があると推測しています。

「このプラグインには有料プランも存在します。ユーザーがプラグイン内蔵のドネーションウォールを通じて少額の料金を支払うと、サーバーからAPIキーがクライアントに送り返され、プラグインは自分のキーではなくそのキーを使ってモデルを呼び出すようになります。正規のオペレーターであれば、有料AIプロバイダーの有効かつ制限なしのキーをユーザーに渡すようなことは絶対にしないはずで、非常に不可解な動作です」とAikidoは述べています。

BleepingComputerはDeepSeek AI Assistプラグイン(プラグインID:ord.cp.code.ai.kit)の最新バージョンをダウンロードして独自に解析し、Aikidoのレポートで指摘された認証情報窃取コードが依然として含まれていることを独立して確認しました。

本稿執筆時点では、当該プラグインはJetBrains Marketplaceからまだダウンロード可能な状態にありました。

Aikidoが発見したキャンペーン関連プラグインは以下のとおりです。

  • DeepSeek Junit Test (org.sm.yms.toolkit)
  • DeepSeek Git Commit (com.json.simple.kit)
  • DeepSeek FindBugs (org.bug.find.tools)
  • DeepSeek AI Chat (org.translate.ai.simple)
  • DeepSeek Dev AI (com.yy.test.ai.simple)
  • DeepSeek AI Coding (com.dev.ai.toolkit)
  • AI FindBugs (com.json.view.simple)
  • AI Git Commitor (com.my.git.ai.kit)
  • AI Coder Review (org.check.ai.ds)
  • DeepSeek Coder AI (com.review.tool.code)
  • AI Coder Assistant (org.code.assist.dev.tool)
  • DeepSeek Code Review (com.coder.ai.dpt)
  • CodeGPT AI Assistant (com.my.code.tools)
  • DeepSeek AI Assist (ord.cp.code.ai.kit)
  • Coding Simple Tool (com.dp.git.ai.tool)

最もダウンロード数が多いのはDeepSeek AI Assist(27,727件)とCodeGPT AI Assistant(25,571件)の2本です。

ただし研究者たちは、ダウンロード数は操作される可能性があり、必ずしも固有のインストール数として扱うべきではないと注意を促しています。

npmやPyPIといったリポジトリで悪意あるパッケージが発見されることは珍しくありませんが、JetBrains Marketplaceを通じて配布された認証情報窃取プラグインの報告は、これまでほとんど例がありませんでした。

BleepingComputerはJetBrainsに対して悪意あるプラグインについて問い合わせを行いましたが、本稿公開時点では回答を得られていません。

攻撃者より先に全レイヤーをテストする

セキュリティチームは成功した攻撃の54%しかログに記録できず、アラートを発するのはわずか14%にとどまっています。残りの脅威は検知されることなく環境内を移動し続けています。

Picusのホワイトペーパーでは、侵害・攻撃シミュレーションを活用してSIEMとEDRのルールを検証し、脅威の検知漏れを防ぐ方法を解説しています。

ホワイトペーパーを入手する

翻訳元: https://www.bleepingcomputer.com/news/security/malicious-jetbrains-marketplace-plugins-steal-ai-api-keys-from-developers/

ソース: bleepingcomputer.com
#Aikido Security #APIキー窃取 #DeepSeek #IDE #JetBrains #OpenAI #サプライチェーン攻撃 #マルウェア #悪意あるプラグイン #情報窃取

関連記事

新たなAndroidマルウェア「Rokarolla」、銀行・仮想通貨アプリ217件を標的に

Wallpaper EngineアプリでSteam Workshopがマルウェア拡散に悪用される

英国、ソーシャルメディアのアカウント作成にID提示または顔スキャンを義務化へ