Plugins maliciosos do JetBrains roubam chaves de API de IA

· Fonte: Sempre Update
Plugins maliciosos do JetBrains roubam chaves de API de IA

A descoberta de plugins maliciosos do JetBrains dentro de um marketplace oficial acendeu um alerta importante para toda a comunidade de desenvolvimento. O caso demonstra que até mesmo plataformas consideradas confiáveis podem ser utilizadas por criminosos para distribuir malware e roubar credenciais valiosas.

Segundo uma investigação da Aikido Security, pelo menos 15 plugins maliciosos foram identificados no JetBrains Marketplace, com o objetivo de capturar chaves de API de serviços de inteligência artificial como OpenAI, DeepSeek e SiliconFlow. O incidente afeta usuários de IDEs populares como IntelliJ IDEA, PyCharm, WebStorm, GoLand e outras ferramentas do ecossistema JetBrains.

O problema vai muito além da perda de acesso a uma conta. Uma chave de API comprometida pode gerar prejuízos financeiros, consumo indevido de créditos de IA, vazamento de informações confidenciais e até exposição de trechos de código utilizados em projetos corporativos. Para equipes de desenvolvimento, isso representa um risco significativo de segurança e conformidade.

Como funciona o golpe dos plugins maliciosos

Os plugins identificados se apresentavam como supostos assistentes de programação com IA, prometendo integração rápida com modelos populares de inteligência artificial.

Na prática, porém, o código incluía rotinas capazes de localizar e capturar as chaves de API configuradas pelos usuários. Como os plugins possuem amplos privilégios dentro das IDEs da JetBrains, eles podem acessar arquivos, configurações e dados disponíveis ao ambiente de desenvolvimento.

Após localizar as credenciais, o malware enviava os dados para servidores controlados pelos invasores por meio de requisições de rede. Os criminosos então poderiam utilizar essas chaves para acessar serviços pagos de IA às custas das vítimas.

Um dos aspectos mais curiosos da campanha foi o suposto modelo de monetização utilizado pelos operadores. De acordo com a denúncia, os responsáveis pelo esquema ofereciam acesso a chaves roubadas para usuários que realizassem pagamentos, transformando o roubo de credenciais em uma espécie de mercado clandestino de acesso a serviços de IA.

O caso reforça uma tendência crescente observada nos últimos anos: a transformação de extensões e plugins em vetores de ataque altamente eficazes contra desenvolvedores.

Logomarca do JetBrains

Lista de plugins afetados no JetBrains Marketplace

A investigação identificou 15 extensões maliciosas publicadas no marketplace. Entre elas estavam ferramentas que prometiam integração com modelos de IA amplamente conhecidos.

Os plugins citados incluem:

  • DeepSeek AI Assist
  • CodeGPT AI Assistant
  • DeepClaude
  • DeepSeek Helper
  • DeepSeek Quick Access
  • AI Coding Helper
  • AI Assistant Pro
  • GPT Coding Assistant
  • DeepSeek Plugin
  • Smart AI Chat
  • Code Intelligence AI
  • AI Code Generator
  • SiliconFlow Assistant
  • DevGPT Helper
  • Fast AI Coding

Como alguns desses plugins podem ter sido removidos ou renomeados após a descoberta da campanha, é recomendável verificar cuidadosamente todas as extensões relacionadas a ferramentas de IA instaladas recentemente.

Os mais baixados entre os identificados foram DeepSeek AI Assist e CodeGPT AI Assistant, que conseguiram alcançar um número considerável de usuários antes da remoção.

Como se proteger dos plugins maliciosos do JetBrains

A boa notícia é que algumas medidas simples podem reduzir significativamente os riscos.

Verifique suas extensões instaladas

Comece revisando todos os plugins ativos em sua IDE.

Faça uma análise cuidadosa dos seguintes pontos:

  • Nome do desenvolvedor responsável.
  • Quantidade de downloads.
  • Histórico de atualizações.
  • Avaliações da comunidade.
  • Presença de documentação oficial.
  • Existência de site ou repositório público.

Também é importante remover extensões que não estejam sendo utilizadas. Quanto menor a superfície de ataque, melhor.

Antes de instalar qualquer plugin novo, procure informações sobre o desenvolvedor e pesquise relatos da comunidade. Uma rápida verificação pode evitar grandes problemas no futuro.

Revogue e mude suas chaves de API imediatamente

Se você utilizou qualquer um dos plugins suspeitos, considere suas credenciais comprometidas.

As ações recomendadas incluem:

  1. Revogar imediatamente as chaves utilizadas.
  2. Gerar novas credenciais.
  3. Verificar logs de acesso dos provedores de IA.
  4. Analisar possíveis cobranças indevidas.
  5. Monitorar atividades incomuns associadas à conta.

Usuários de serviços como OpenAI, DeepSeek e plataformas compatíveis devem revisar cuidadosamente seus painéis administrativos para identificar acessos suspeitos.

Também é recomendável migrar credenciais para sistemas de gerenciamento de segredos sempre que possível, evitando armazenar chaves diretamente em arquivos de configuração.

Por que os plugins maliciosos do JetBrains são tão perigosos?

Diferentemente de muitos aplicativos convencionais, plugins instalados em IDEs possuem acesso privilegiado ao ambiente de desenvolvimento.

Isso significa que uma extensão maliciosa pode visualizar configurações internas, acessar arquivos de projetos, ler variáveis de ambiente e até coletar credenciais armazenadas localmente.

Em ambientes corporativos, o impacto pode ser ainda maior. Uma única chave comprometida pode abrir caminho para o acesso indevido a serviços críticos, gerar custos elevados de processamento e expor informações estratégicas de desenvolvimento.

Com o crescimento acelerado da inteligência artificial, as chaves de API se tornaram um alvo extremamente lucrativo para cibercriminosos.

O impacto na segurança do ecossistema de desenvolvimento

O incidente envolvendo os plugins maliciosos do JetBrains mostra que os marketplaces de extensões estão se tornando alvos cada vez mais atraentes para criminosos.

O cenário lembra ataques já observados em ecossistemas como npm, PyPI e outros repositórios de software, onde pacotes aparentemente legítimos são utilizados para distribuir malware ou roubar informações sensíveis.

A popularização dos assistentes de programação baseados em IA criou uma nova superfície de ataque. Desenvolvedores frequentemente buscam ferramentas para aumentar a produtividade e podem acabar instalando extensões sem uma análise aprofundada.

A principal lição é clara: confiança não deve substituir verificação. Mesmo ao instalar extensões a partir de marketplaces oficiais, é fundamental analisar a procedência do software, revisar permissões e monitorar continuamente o ambiente de desenvolvimento.

A descoberta reforça a necessidade de práticas de segurança mais rigorosas em equipes de tecnologia. Auditorias periódicas de plugins, monitoramento de credenciais e treinamento de conscientização podem reduzir significativamente os riscos.

Se você trabalha com desenvolvimento de software, segurança da informação ou administração de sistemas, compartilhe este alerta com sua equipe. Quanto mais profissionais estiverem cientes da ameaça, menores serão as chances de novas vítimas caírem nesse tipo de golpe.