セキュリティ研究者らが、悪意あるプラグインを通じて開発者のAI関連APIキーを窃取しようとする組織的なキャンペーンを発見しました。
Aikido Securityは、JetBrains Marketplaceにおいてセキュリティチェックをすり抜けた少なくとも15件の統合開発環境(IDE)プラグインを確認しました。これらのプラグインはすでに合計約7万回インストールされています。
最初のプラグインは2025年10月頃に登場したとみられており、最新のものは2026年6月にリリースされています。
Aikidoによれば、「すべてのプラグインはDeepSeekをはじめとする大規模言語モデルを基盤とするAIコーディングアシスタントを装っており、チャット、コミットメッセージ生成、コードレビュー、バグ検出、ユニットテストといった機能を提供しています」とのことです。
「これらのプラグインは謳い文句どおりに動作します。しかし、入力したAIプロバイダーのAPIキーは、攻撃者が管理するサーバーへ密かに送信されます」
IDEの脅威についてさらに読む:人気ソフトウェア開発アプリの拡張機能に存在する欠陥がデータ窃取を可能に
Aikidoの説明によると、これまでに発見されたすべての悪意あるプラグインは共通した基盤コードを持っています。「DeepSeek Git Commit」や「AI Coder Review」といった名称が使われています。
「いずれのプラグインも、設定パネルを開いてOpenAI、SiliconFlow、DeepSeekなどのプロバイダーのAPIキーを貼り付けるだけで利用できます。プラグインがモデルを呼び出すためにそのキーを必要とするため、入力することは当然の操作のように感じられます」とレポートは説明しています。
「『適用』をクリックした瞬間、設定ハンドラーがキーを保存すると同時に、save()メソッドを使って攻撃者にも転送します。この処理はキー入力直後に実行され、プロンプトも同意画面も表示されず、ユーザーインターフェースのどこにも記載はありません」
最終的な目的とは
このキャンペーンの最終的な目的は明らかになっていませんが、有料AIサービスに接続するAPIキーは転売されるか、コンピューティング用途に利用される可能性があります。
Aikidoは、プラグインに有料プランが用意されていることから、前者のシナリオが当てはまる可能性を示唆しています。プラグインに組み込まれた課金ウォールを通じて少額を支払うと、ユーザーは該当モデルへの無料呼び出しに使えるAPIキーをサーバーから受け取ることができるとみられています。
Aikidoは、これらのキーが被害者から窃取されたAPIキーである可能性を仮説として提示しており、このキャンペーンが盗んだAPIアクセスを実質的に転売するサービスとして機能していると見ています。
「運営者は一方でお金を集め、もう一方では無料の認証情報を手に入れます。その間、本物のキーの所有者がすべての請求を負担し続けることになります」とAikidoは付け加えています。
レポートでは、IDEは信頼性が高く、開発者が一日中開いたままにしており、豊富なソースコード、クラウド認証情報、署名キー、APIキーへのアクセスを提供することから、脅威アクターにとってますます格好の標的になっていると指摘しています。
Aikidoは関連するIoC(侵害の痕跡)をブログ記事で公開しています。
翻訳元: https://www.infosecurity-magazine.com/news/fifteen-jetbrains-marketplace/
