Apa yang terjadi
Kampanye rantai pasokan terkoordinasi antara Oktober 2025 dan Juni 2026 menerbitkan setidaknya 15 plugin JetBrains berbahaya yang mengeluarkan kunci API penyedia AI. Dua plugin terkemuka (CodeGPT, DeepSeek AI Assist) masing-masing memiliki lebih dari 25.000 unduhan. Plugin tersebut dikonfirmasi masih mengandung kode pencurian kredensial pada saat pelaporan pada 16 Juni 2026.
Mengapa penting
Pengembang AI adalah target bernilai tinggi: kunci API mereka memberikan akses ke model frontier dan biaya uang untuk dieksploitasi. Serangan rantai pasokan ini secara langsung mengkompromikan alat pengembangan yang digunakan untuk membangun sistem AI. Kunci yang dicuri dapat dijual kembali, digunakan untuk pengintaian, atau digunakan untuk meracuni kumpulan data melalui manipulasi API.
Vektor serangan
Penyerang menerbitkan plugin IDE berbahaya di bawah akun vendor berbeda di JetBrains Marketplace. Plugin tersebut menyamar sebagai asisten pengodean AI yang sah (CodeGPT, DeepSeek AI Assist, dll.) dan mencakup fitur ulasan kode, pesan komit, dan utilitas Git. Ketika pengembang memasukkan kunci API mereka ke dalam pengaturan plugin, plugin mengeluarkan kunci ke server yang dikendalikan penyerang melalui HTTP biasa.
Sistem yang terdampak
Plugin marketplace IDE JetBrains (15 ekstensi berbahaya); mempengaruhi pengembang yang menggunakan integrasi OpenAI, DeepSeek, dan SiliconFlow
Mitigasi
JetBrains: terapkan pemindaian kode untuk pola pencurian kredensial dalam plugin marketplace. Pengembang: gunakan manajer kredensial IDE dengan enkripsi; rotasi kunci API segera; aktifkan pemantauan penggunaan kunci API dan peringatan batas laju.