JetBrainsで15個の悪性プラグインがAPIキーを窃取、合計約7万ダウンロード
Innovatopia / 2026/6/19
📰 ニュースDeveloper Stack & InfrastructureSignals & Early TrendsIdeas & Deep AnalysisIndustry & Market Moves
要点
- JetBrains Marketplace上で、AIコーディング支援を装いながら少なくとも15個の悪性プラグインがAPIキー(OpenAI/SiliconFlow/DeepSeek等)を攻撃者サーバへ平文HTTPで送信していたとAikido Securityが報告した。
- これらのプラグインはチャットやコードレビューなど“宣伝どおり動く”ため利用者が気づきにくく、合計で約7万回ダウンロードされ、有料ティアの利用者にも関連する挙動が確認されている(被害者数は未確定)。
- 窃取の発火条件として、入力文字列が特定形式(例:先頭が「sk-」かつ長さ51文字)の場合にのみ送信するなど標的化と検出回避が行われていた。
- JetBrainsは2026年6月16日に調査・対応として15プラグインの削除、7つの発行者アカウントの永久停止、リモート無効化を実施した。
- 解説では、盗んだキーを使って他人の生成AI計算資源を浪費させるLLMjacking(AI版クリプトジャッキング)としての可能性が示され、転売/費用請求につながる懸念が論じられている。
この記事の続きは原文サイトでお読みいただけます。
原文を読む →
