Pesquisadores de cibersegurança identificaram uma "campanha coordenada de malware" no JetBrains Marketplace, que publicou pelo menos 15 plugins maliciosos capazes de exfiltrar chaves de API (Interface de Programação de Aplicações) de provedores de inteligência artificial (IA).
"Cada plugin se passa por um assistente de programação com IA baseado no DeepSeek e em outros grandes modelos de linguagem, oferecendo chat, mensagens de commit, revisão de código, identificação de bugs e testes unitários", disse o pesquisador da Aikido Security, Ilyas Makari. "Eles funcionam exatamente como anunciado. No entanto, a chave de API do provedor de IA que você insere é exfiltrada para um servidor controlado pelo atacante."
A atividade está em andamento desde o fim de outubro de 2025, com novos plugins lançados recentemente, em 10 de junho de 2026. Dois dos plugins, CodeGPT AI Assistant e DeepSeek AI Assist, têm mais de 25 mil downloads cada, embora não esteja claro se os números são autênticos ou se foram inflados para forjar popularidade.
A lista completa de plugins está abaixo:
- DeepSeek Junit Test (org.sm.yms.toolkit)
- DeepSeek Git Commit (com.json.simple.kit)
- DeepSeek FindBugs (org.bug.find.tools)
- DeepSeek AI Chat (org.translate.ai.simple)
- DeepSeek Dev AI (com.yy.test.ai.simple)
- DeepSeek AI Coding (com.dev.ai.toolkit)
- AI FindBugs (com.json.view.simple)
- AI Git Commitor (com.my.git.ai.kit)
- AI Coder Review (org.check.ai.ds)
- DeepSeek Coder AI (com.review.tool.code)
- AI Coder Assistant (org.code.assist.dev.tool)
- DeepSeek Code Review (com.coder.ai.dpt)
- CodeGPT AI Assistant (com.my.code.tools)
- DeepSeek AI Assist (ord.cp.code.ai.kit)
- Coding Simple Tool (com.dp.git.ai.tool)
A Aikido Security afirmou que todos os 15 plugins compartilham uma base de código semelhante, exigindo que os usuários abram o painel de configurações e insiram uma chave de API para uma IA como OpenAI, SiliconFlow ou DeepSeek para executar a funcionalidade prometida.
Embora os plugins funcionem como pretendido, foi descoberto que eles incluem de forma oculta a capacidade de desviar secretamente a chave de API fornecida para um servidor remoto ("39.107.60[.]51") sob o controle do atacante, por meio de uma requisição HTTP (Protocolo de Transferência de Hipertexto) em texto puro.
"Os plugins também operam em um nível pago", disse a empresa. "Depois que o usuário paga uma pequena taxa pelo muro de doações integrado ao plugin, o servidor envia de volta uma chave de API para o cliente, e o plugin passa a usar essa chave em suas chamadas de modelo em vez da sua, o que é estranho, já que nenhum operador legítimo simplesmente entregaria a um usuário uma chave funcional e sem restrições para um provedor de IA pago."
Isso levantou a possibilidade de que os operadores por trás da campanha estejam compartilhando as chaves de API de provedores de IA roubadas com outros atores de ameaças como parte de um esquema de monetização ilícita, transformando-a efetivamente em um serviço que concede a usuários pagantes acesso ao provedor de IA da vítima.
"O operador recebe dinheiro de um lado e credenciais gratuitas de outro, enquanto os verdadeiros donos das chaves pagam a conta", acrescentou Makari.
A campanha é mais uma evidência de como os atores de ameaças estão miram cada vez mais ambientes de desenvolvimento por meio do ecossistema de código aberto, que se tornou um alvo lucrativo por hospedar código-fonte, credenciais de nuvem, chaves de assinatura e chaves de API de serviços de IA pagos que podem ser revendidos para esquemas de LLMjacking (sequestro de cota em grandes modelos de linguagem).
"Trate um plugin da mesma forma que trataria qualquer dependência executada com seus privilégios, e tenha cuidado ao colar segredos de longa duração em ferramentas que você não verificou", afirmou a Aikido Security.
Extensões maliciosas do Chrome roubam conversas com IA
O caso ocorre em paralelo à descoberta de duas extensões bloqueadoras de anúncios do Google Chrome que foram flagradas capturando as conversas dos usuários com chatbots de IA, como OpenAI ChatGPT, Anthropic Claude, Google Gemini, Microsoft Copilot, Perplexity, DeepSeek, xAI Grok e Meta AI. A operação de coleta de dados foi batizada de PromptSnatcher pelo pesquisador Jean-Marie R.
Os nomes das extensões, que ainda estão disponíveis na Chrome Web Store, são os seguintes:
- Smart Adblocker (ID: iojpcjjdfhlcbgjnpngcmaojmlokmeii) - 90.000 usuários (publicada em outubro de 2022)
- Adblock for Browser (ID: jcbjcocinigpbgfpnhlpagidbmlngnnn) - 10.000 usuários (publicada em agosto de 2023)
"Embora sejam apresentadas como bloqueadores de anúncios, as extensões enviam um mecanismo de interceptação personalizado que registra conversas não públicas, uso de modelos e metadados do nível de conta em todas as principais plataformas de IA (ChatGPT, Claude, Gemini e outras)", disse o pesquisador. "A operação usa listas de filtros públicas legítimas (EasyList, IDCAC) como cobertura funcional, fornecendo uma utilidade real de bloqueio de anúncios enquanto executa um canal de telemetria não divulgado."
O fato de as duas extensões existirem há vários anos indica que os recursos relacionados à IA foram introduzidos por meio de atualizações de software.
Esses esforços fazem parte de uma técnica de ataque chamada Prompt Poaching (caça a prompts). Nos últimos meses, extensões de navegador, legítimas e maliciosas, foram observadas adotando esse método para capturar de forma furtiva conversas com IA. Ainda não está claro se essas práticas violam as políticas do Google para extensões de navegador.
"As extensões interceptam o histórico completo de conversas com IA, o uso de modelos e o nível de assinatura de oito plataformas, e transmitem esses dados para uma infraestrutura controlada pelos operadores sem notificar o usuário além de uma string genérica de consentimento de 'Proteção Aprimorada'", observou o pesquisador.
