Ataque coordenado visa credenciais de provedores de IA
Desenvolvedores que dependem de ferramentas de codificação de IA agora enfrentam uma nova ameaça séria. Uma campanha de malware coordenada foi descoberta no JetBrains Marketplace, onde pelo menos 15 plugins de IDE falsos estavam quietamente roubando chaves de API de provedores de IA de milhares de desenvolvedores. Os plugins se apresentavam como assistentes de codificação de IA úteis construídos sobre DeepSeek, OpenAI e SiliconFlow, mas escondiam uma rotina perigosa de roubo de credenciais sob sua superfície.
O ataque se estendeu por cerca de oito meses, com os plugins maliciosos mais antigos aparecendo no final de outubro de 2025 e novos sendo publicados tão recentemente quanto 10 de junho de 2026. Juntos, os 15 plugins acumularam quase 70.000 instalações combinadas em sete contas de fornecedores antes de serem detectados. A escala e a persistência desta campanha destacam o quanto os desenvolvedores confiam nos ecossistemas de mercado e como facilmente essa confiança pode ser weaponizada.
Mecanismo de roubo e monetização
Os pesquisadores da Aikido Security foram os primeiros a identificar e divulgar publicamente a campanha. O Cloud Security Alliance (CSA) disse em um relatório que os ecossistemas de plugins de IDE se tornaram uma superfície de ataque primária para o roubo de credenciais de IA, observando que os controles de integridade da cadeia de suprimentos não foram estendidos a esses ambientes. Todos os três campanhas documentadas confirmam que a ferramenta de desenvolvedor agora é um alvo bem reconhecido e ativamente explorado.
Todos os 15 plugins maliciosos compartilhavam código quase idêntico, republicado e relistado sob diferentes nomes e contas de fornecedores. Quando um desenvolvedor inseria sua chave de API nas configurações do plugin e clicava em Aplicar, a credencial era armazenada localmente como esperado, mas simultaneamente encaminhada via solicitação POST HTTP simples para um servidor controlado pelo atacante. Nenhuma notificação e nenhuma tela de consentimento jamais apareciam na interface.
A análise da Aikido também descobriu uma camada de monetização que distingue esta campanha do roubo ordinário de credenciais. Alguns plugins ofereciam um nível pago, e uma vez que um usuário pagava uma pequena taxa, o servidor do atacante retornaria uma chave de API funcional para o cliente. Os pesquisadores acreditam que essas chaves retornadas eram provavelmente roubadas de vítimas de nível gratuito, transformando a campanha em um serviço de revenda de credenciais onde os atacantes coletavam tanto dinheiro quanto computação de IA gratuita.
Ameaças relacionadas e contexto
Ao lado da campanha do JetBrains, os pesquisadores rastrearam duas ameaças relacionadas ativas durante a mesma janela. O worm GlassWorm visou o Marketplace do Visual Studio Code e o Registro OpenVSX, enquanto um comprometimento de cadeia de suprimentos separado do Nx Console atingiu o Repositório Interno do GitHub. Juntos, eles refletem um padrão mais amplo de atacantes convergindo para ferramentas de desenvolvedor como um ponto de entrada de alto valor.
O GlassWorm, uma ameaça tecnicamente avançada identificada pela primeira vez pela Koi Security em outubro de 2025, se espalhou através de extensões maliciosas do VS Code no Registro OpenVSX. Ele usou caracteres Unicode invisíveis para esconder a lógica maliciosa dentro dos arquivos de origem da extensão, fazendo com que o código parecesse linhas vazias para revisores humanos e ferramentas automatizadas. Essa técnica permitiu que o malware escorregasse pela maioria dos processos de revisão padrão indetectado.
Recomendações de segurança
Os desenvolvedores devem auditar imediatamente todos os plugins JetBrains e extensões VS Code instalados e tratar qualquer chave de API inserida em um plugin não verificado como totalmente comprometida. As chaves para OpenAI, Anthropic, DeepSeek e SiliconFlow devem ser revogadas e rotacionadas através de seus respectivos painéis de provedores sem demora. As equipes de rede devem bloquear o tráfego de saída para o servidor do atacante, e as organizações devem exigir revisão comportamental, não apenas análise de código estático, antes de aprovar novos plugins de IDE.
Os indicadores de comprometimento incluem o endereço IP 39.107.60.51 e a URL de exfiltração hxxp://39.107.60.51/api/software/key. Vários IDs de plugin maliciosos foram listados, incluindo org.sm.yms.toolkit e com.my.code.tools. A token de autenticação API F48D2AA7CF341F782C1D foi encontrado hardcoded nos plugins.