開発効率化ツールは、私たちの最も重要な業務上の機密情報へのアクセス権を着実に拡大しています。JetBrains Marketplace向けの悪意あるプラグイン作成者たちは、こうした深い信頼関係を意図的に悪用しました。先ごろ公開された包括的なレポートは、AIキーの窃取が発覚した複数のJetBrains IDEプラグインが実際に活動していた実態を詳述しています。Aikido Securityの研究者たちは、少なくとも15件の悪意あるプラグインを発見しました。これらのツールは、AIアシスタント、コード検証ユーティリティ、Gitツールを巧みに装って開発者を欺いていました。しかし実際には、開発者の重要なAPIキーを密かに収集していたのです。
攻撃キャンペーンの全貌
この巧妙なキャンペーンは、著名なAIサービスに関連するプラグインに幅広い影響を及ぼしました。標的となったプラットフォームには、OpenAI、DeepSeek、SiliconFlowなどが含まれています。攻撃者たちは7つの異なるベンダーアカウントにまたがり、これらの拡張機能を戦略的に公開していました。Aikido Securityによれば、これらのプラグインは合計で約70,000件のインストールを集めていたとのことです。ただし、このようなプラットフォームにおけるダウンロード数は操作されやすい性質を持っています。そのため、この数字が実際の被害ユーザー数を正確に反映しているとは限りません。
静かな窃取の仕組み
驚くべきことに、悪意あるプラグインは宣伝通りの機能を完璧に実行していました。窃取は、初回設定フェーズ中に静かに行われていました。ユーザーがプラグインの設定画面にAPIキーを入力し「Apply」ボタンをクリックした瞬間、罠が作動します。拡張機能は即座に、その機密キーを暗号化されていないHTTP接続を経由して外部の指定サーバーへ送信していました。セキュリティ専門家たちは、15件すべてのプラグインに同一の悪意あるコード断片が含まれていることを確認しています。拡張機能がそれぞれ異なる名前で流通していたにもかかわらず、コードは共通していました。
巧妙な収益化スキーム
さらに、Aikido Securityはこの悪質なスキームの中に有料サブスクリプション枠の存在を発見しました。このプレミアムモードでは、不正サーバーが目的のAIモデルを照会するためのサードパーティAPIキーをユーザーに提供する仕組みになっていました。提供されるキーの正確な出所については、現時点では一切判明していません。
レポートの著者たちは、高度に循環的なシナリオを仮説として提示しています。無料層ユーザーから正規のキーを収集し、それを有料顧客に再配布していた可能性があるというものです。ただし、この具体的な運用アーキテクチャについては、現時点では確定的な裏付けが得られていません。
マーケットプレイスで目立った主要プラグイン
この悪意あるプラグイン群の第一波は、2025年10月にJetBrains Marketplaceへの侵入を開始しました。その後も新たな不正拡張機能が出現し続け、2026年6月10日まで続きました。最も目立ったプラグインとして、Aikido Securityは27,727ダウンロードという驚異的な数字を記録した「DeepSeek AI Assist」を挙げています。また、25,571ダウンロードを誇る「CodeGPT AI Assistant」も問題のあるプラグインとして指摘されました。BleepingComputerはDeepSeek AI Assistの現行バージョンを独自に検証し、認証情報を窃取するコードが現在も活発に存在することを確認しています。
開発者が今すぐ取るべき対処手順
本記事の公開時点において、DeepSeek AI AssistはJetBrains Marketplaceで依然としてダウンロード可能な状態にありました。開発者はセキュリティレポートに記載されているプラグインを早急に特定し、削除する必要があります。さらに、これらの拡張機能に入力したAPIキーはすべて直ちに再発行しなければなりません。
また、被害を受けたすべてのユーザーはリクエスト履歴を細かく精査することが不可欠です。サービスプロバイダーが厳密な権限範囲を設定できる場合は、キーの権限を積極的に制限することをお勧めします。サプライチェーン攻撃に対する唯一の真の防御策は、常に高い警戒心を持ち続けることです。
翻訳元: https://meterpreter.org/jetbrains-malicious-plugins/
