何が起きたか
2026年6月16日、Aikido Securityは、2025年10月から活動していたJetBrains Marketplace上の15個の悪意あるプラグインの組織的キャンペーンを報告しました。このプラグインはアドバタイズされたとおりに機能し(AI コーディング、コミットメッセージ生成、コードレビュー、バグ発見)ながら、設定に入力されたAIプロバイダーAPIキーをサイレントに流出させました。BleepingComputerはDeepSeek AI Assistプラグイン(ord.cp.code.ai.kit、約27,727ダウンロード)の盗難コードを独立して確認しました。JetBrainsは15個すべてのプラグインを削除し、2026年6月16~17日にこのインシデントを開示しました。攻撃者は盗まれたキーを再販売するか直接使用しているようで、時には被害者に盗まれたキーを「有料層」の利点として提供しています。
なぜ重要か
IDEプラグインは開発者ワークステーション(ソースコード、クラウド認証情報、署名キー、現在はAI APIキー)への無制限のアクセス権を持っています。このキャンペーンは、脅威行為者がAI開発ツーリングを高価値な認証情報ソースとして特に標的にしていることを示しています。盗まれたAI APIキーにより、被害者の費用でのモデル悪用、AIプロバイダーに送信された機密プロンプトとコードの露出、および同じキーがより広い権限を付与する場合のクラウド環境へのピボットが可能になります。
攻撃経路
プラグインは正当なAI コーディングアシスタント、コードレビューツール、およびDeepSeek/OpenAI上に構築されたGitユーティリティになりすまします。開発者がAI プロバイダーAPIキーをプラグインの設定パネルに貼り付けて[適用]をクリックすると、隠しsave()ハンドラーは即座にキーを暗号化されていないHTTP経由(カスタムX509TrustManagerでTLSをバイパス)で、ハードコードされた攻撃者制御のサーバー(39.107.60[.]51)に流出させます。通常のプラグインセットアップを超えるユーザー操作は不要です。
影響を受けるシステム
15個の悪意あるJetBrains Marketplaceプラグイン(ord.cp.code.ai.kit、com.my.code.toolsを含むID)。すべてのJetBrains IDE(IntelliJ IDEA、PyCharm、WebStorm、GoLandなど)
緩和策
影響を受けた15個のプラグインすべてを直ちに削除してください(JetBrainsアドバイザリでプラグインIDを参照)。JetBrains IDE内で設定されているすべてのAI プロバイダーAPIキーをローテーションしてください。AIプロバイダーの課金で異常な使用法を監視してください。39.107.60[.]51への外部接続をブロックしてください。アドバイザリ:https://blog.jetbrains.com/platform/2026/06/marketplace-ecosystem-security-update-malicious-ai-plugins