Apa yang terjadi
Aikido Security menemukan setidaknya 15 plugin jahat di JetBrains Marketplace yang dirancang untuk mencuri kunci API AI dari developer. Kampanye menargetkan layanan AI populer (OpenAI, DeepSeek, SiliconFlow). Setelah developer membayar biaya kecil melalui dinding donasi plugin, plugin menerima kunci API yang berfungsi (tetapi tidak terbatas) dari server penyerang dan menggunakannya untuk panggilan model alih-alih kunci developer sendiri.
Mengapa penting
JetBrains IDEs adalah lingkungan pengembangan tepercaya tempat developer mengonfigurasi asisten coding AI. Kunci API yang dicuri memberikan penyerang akses langsung ke API model AI premium (GPT-5, Claude, dll.) dan memungkinkan exfiltrasi kode proprietary yang dikirim ke model untuk analisis. Penyerang mendapatkan wawasan tentang basis kode developer, struktur proyek, dan pola penggunaan AI.
Vektor serangan
Developer menginstal plugin JetBrains jahat dari Marketplace. Setelah pengguna memasukkan kunci API penyedia AI mereka (OpenAI, DeepSeek, SiliconFlow) dalam pengaturan plugin, plugin mengeksfiltrasi kunci ke server yang dikontrol penyerang dan mengembalikan kunci gratis tanpa batasan untuk akun penyerang, memungkinkan penyerang menggunakan kuota API berbayar korban.
Sistem yang terdampak
Plugin Marketplace JetBrains yang bertindak sebagai asisten AI, reviewer kode, utilitas Git (setidaknya 15 plugin termasuk DeepSeek AI Assist, integrasi OpenAI, alat SiliconFlow)
Mitigasi
Hapus plugin jahat dari JetBrains Marketplace; audit pengaturan plugin JetBrains IDE untuk integrasi AI yang mencurigakan; putar kunci API yang dikompromikan