JetBrainsで15個の悪性プラグインがAPIキーを窃取、合計約7万ダウンロード
Innovatopia / 6/19/2026
📰 NewsDeveloper Stack & InfrastructureSignals & Early TrendsIdeas & Deep AnalysisIndustry & Market Moves
Key Points
- JetBrains Marketplace上で、AIコーディング支援を装いながら少なくとも15個の悪性プラグインがAPIキー(OpenAI/SiliconFlow/DeepSeek等)を攻撃者サーバへ平文HTTPで送信していたとAikido Securityが報告した。
- これらのプラグインはチャットやコードレビューなど“宣伝どおり動く”ため利用者が気づきにくく、合計で約7万回ダウンロードされ、有料ティアの利用者にも関連する挙動が確認されている(被害者数は未確定)。
- 窃取の発火条件として、入力文字列が特定形式(例:先頭が「sk-」かつ長さ51文字)の場合にのみ送信するなど標的化と検出回避が行われていた。
- JetBrainsは2026年6月16日に調査・対応として15プラグインの削除、7つの発行者アカウントの永久停止、リモート無効化を実施した。
- 解説では、盗んだキーを使って他人の生成AI計算資源を浪費させるLLMjacking(AI版クリプトジャッキング)としての可能性が示され、転売/費用請求につながる懸念が論じられている。
Continue reading this article on the original site.
Read original →Related Articles
Black Hat USA
AI Business
Agents extending creative loops
Dev.to
Memory as meaning engine
Dev.to
Edge-to-Cloud Swarm Coordination for deep-sea exploration habitat design for extreme data sparsity scenarios
Dev.to
LLM observability tools are blind to the voice layer. Here is what I checked 6 of them for.
Dev.to
