Plugins maliciosos no JetBrains Marketplace roubam chaves de API de IA; extensões do Chrome capturam conversas de chatbots

Pesquisadores da Aikido Security identificaram uma campanha coordenada de malware no JetBrains Marketplace com pelo menos 15 plugins maliciosos que exfiltram chaves de API de provedores de inteligência artificial. Dois deles — CodeGPT AI Assistant e DeepSeek AI Assist — somam mais de 25 mil downloads cada, e a operação opera desde o final de outubro de 2025, com novos plugins publicados ainda em junho de 2026. Em paralelo, duas extensões de bloqueador de anúncios no Chrome Web Store foram flagradas capturando conversas com ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok e Meta AI.

O que aconteceu

A descoberta partiu do pesquisador Ilyas Makari, da Aikido Security, que mapeou um conjunto de plugins disponíveis no marketplace oficial da JetBrains — usado por desenvolvedores em IDEs como IntelliJ IDEA, PyCharm, WebStorm e Rider. Todos os plugins se apresentavam como assistentes de codificação baseados em DeepSeek e outros modelos de linguagem, oferecendo chat, geração de mensagens de commit, revisão de código, identificação de bugs e geração de testes unitários.

O detalhe perigoso é que os plugins funcionam exatamente como anunciam. A vítima instala, configura sua chave de API legítima de um provedor (OpenAI, Anthropic, DeepSeek etc.) e passa a usar o assistente normalmente. Em segundo plano, a chave é enviada em texto claro, por HTTP, para um servidor controlado pelos atacantes hospedado em 39.107.60[.]51.

A campanha não é amadora: os autores construíram uma camada paga dentro dos próprios plugins. Após o usuário fazer uma pequena doação pelo paywall embutido, o servidor envia de volta uma chave de API — provavelmente roubada de outra vítima — que o plugin passa a usar para as chamadas ao modelo. É o esquema clássico de monetização cruzada: os operadores cobram dos compradores enquanto repassam a conta para o legítimo dono da credencial, em uma economia subterrânea que transforma o desenvolvedor desavisado em uma fonte gratuita de créditos de IA.

Como o ataque funciona

Os plugins maliciosos exploram a confiança implícita que desenvolvedores depositam em marketplaces curados. JetBrains opera um modelo de submissão relativamente aberto, e a verificação pré-publicação é predominantemente automatizada. Os autores se beneficiam do fato de que, para o usuário final, o assistente entrega valor real — nenhum comportamento aberrante na IDE indica o vazamento.

“O operador coleta dinheiro de um lado e credenciais gratuitas do outro, enquanto os verdadeiros donos das chaves pagam a conta”, afirmou Ilyas Makari, da Aikido Security.

O canal de exfiltração via HTTP em texto claro é, ironicamente, parte da camuflagem. Tráfego TLS para domínios desconhecidos chama atenção de algumas soluções de EDR; uma requisição HTTP curta para um IP chinês passa despercebida em ambientes onde o tráfego HTTP genérico ainda é frequente. Não há criptografia, não há acrobacia de empacotamento — só a aposta de que ninguém está olhando.

Em paralelo: PromptSnatcher e a coleta silenciosa de conversas com IA

Em divulgação coordenada, o pesquisador Jean-Marie R. detalhou uma operação batizada de PromptSnatcher, envolvendo duas extensões para Google Chrome que, sob a fachada de bloqueadores de anúncios, capturam silenciosamente as conversas dos usuários com chatbots de IA. As extensões continuam disponíveis na Chrome Web Store no momento da divulgação:

• Smart Adblocker (ID: iojpcjjdfhlcbgjnpngcmaojmlokmeii) — 90 mil usuários, publicada em outubro de 2022
• Adblock for Browser (ID: jcbjcocinigpbgfpnhlpagidbmlngnnn) — 10 mil usuários, publicada em agosto de 2023

Segundo a análise, as extensões embarcam uma engine própria de interceptação que registra conversas não públicas, padrões de uso dos modelos e metadados de tipo de conta em todas as principais plataformas: ChatGPT, Claude, Gemini, Copilot, Perplexity, DeepSeek, Grok e Meta AI. O foco recai sobre o que o usuário digita e o que o modelo responde — ou seja, segredos comerciais, código proprietário, rascunhos de e-mails sensíveis e até prompts contendo credenciais coladas distraidamente.

Quem é afetado

• Desenvolvedores que usam JetBrains IDEs com plugins de IA não oficiais — especialmente CodeGPT AI Assistant, DeepSeek AI Assist e qualquer plugin novo prometendo integração com modelos populares.
• Equipes de engenharia em empresas pequenas e médias, onde políticas de revisão de plugins costumam ser frouxas e a chave de API corporativa é compartilhada entre devs.
• Usuários comuns do Chrome que instalaram bloqueadores de anúncios genéricos e conversam com IA pelo navegador — o que inclui consultas a sistemas internos via plugins de empresa.
• Detentores de chaves pagas de OpenAI, Anthropic e DeepSeek, que podem descobrir cobranças anormais antes de identificar a origem do vazamento.

Análise

O caso reforça uma tendência que tem se intensificado ao longo de 2026: o ecossistema de IA criou uma nova classe de credencial de altíssimo valor — a chave de API de um modelo de fronteira — sem que práticas defensivas tenham acompanhado. Diferentemente de uma chave AWS, que aciona alertas de billing em horas, uma chave de OpenAI pode ser exaurida em silêncio, frequentemente disfarçada entre o consumo legítimo. Operadores criminosos enxergaram nessa assimetria uma fronteira lucrativa.

O paralelo com a campanha Shai-Hulud no npm é claro: ataques à cadeia de suprimentos do desenvolvedor — seja via pacotes, extensões de navegador ou plugins de IDE — deixaram de ser eventos pontuais e se tornaram a tática preferida quando o alvo final é o engenheiro. JetBrains, Chrome Web Store, npm, PyPI e até marketplaces de modelos como Hugging Face estão expostos ao mesmo dilema: curadoria automatizada não escala para detectar funcionalidade benigna que cumpre uma intenção maliciosa secundária.

Vale notar a sofisticação econômica do esquema da JetBrains: o servidor não apenas rouba, ele reaproveita as chaves em uma camada paga, criando uma espécie de “API as a Service” baseado em credenciais furtadas. Esse desenho aumenta o tempo de vida da operação — cada chave útil é monetizada várias vezes antes de ser detectada e revogada.

Recomendações práticas

• Revogue imediatamente qualquer chave de OpenAI, Anthropic, DeepSeek, Google ou Mistral que tenha sido inserida em plugins de terceiros para JetBrains nos últimos meses, e emita novas chaves com escopo restrito.
• Audite plugins instalados em IntelliJ, PyCharm, WebStorm e demais IDEs JetBrains; remova plugins de assistente de IA que não sejam oficiais ou de fornecedores estabelecidos (JetBrains AI Assistant, GitHub Copilot, Tabnine, Codeium).
• Aplique limites de gasto e alertas de uso em todas as plataformas de IA — a maior parte oferece “usage limits” e “spend alerts” gratuitos, que devem ser configurados como camada mínima de detecção.
• Implemente egress filtering nas estações de desenvolvimento corporativas, bloqueando saídas HTTP não autenticadas para IPs fora de allowlists.
• Para usuários finais: revise as extensões do Chrome em chrome://extensions/ e remova bloqueadores de anúncios obscuros — prefira uBlock Origin (ainda disponível no Firefox e em variantes do Chromium).
• Trate chaves de API de IA com o mesmo rigor de uma chave AWS: ambiente isolado, rotação periódica, vault corporativo, nunca em texto claro em arquivo de configuração.

Fonte: The Hacker News