O Ataque Silencioso: Como Plugins Falsos no Seu Ambiente de Desenvolvimento Drenaram Chaves de IA

Em 16 de junho de 2026, a empresa de segurança Aikido Security revelou uma campanha coordenada de malware que estava drenando credenciais de serviços de IA diretamente das IDEs de desenvolvedores. Os criminosos publicaram ao menos 15 plugins maliciosos no marketplace oficial da JetBrains, disfarçando-os como úteis assistentes de codificação com IA, ferramentas de revisão de código e utilitários para Git. Coletivamente, esses plugins foram instalados cerca de 70.000 vezes antes de a campanha ser descoberta .

A operação marca uma escalada significativa nos ataques à cadeia de suprimentos de software. Diferente de pacotes maliciosos isolados, este foi um esforço sistemático que abrangeu sete contas distintas de fornecedores, todas compartilhando o mesmo código oculto para roubo de credenciais. O alvo: um dos ativos mais valiosos no kit de ferramentas de um desenvolvedor moderno, as chaves de API para plataformas de IA como OpenAI, DeepSeek e SiliconFlow.

Como o Ataque Funcionava

O vetor de infecção baseou-se totalmente em engenharia social dentro de um ecossistema confiável. Desenvolvedores que navegavam pela JetBrains Marketplace em busca de ferramentas de produtividade com IA se deparavam com os plugins, que eram impulsionados por avaliações falsas de cinco estrelas para parecerem legítimos . Uma vez instalados, eles realmente funcionavam como anunciado, oferecendo chat, geração de mensagens de commit e testes unitários, o que mascarava seu comportamento malicioso .

O mecanismo de roubo era brutalmente simples e eficaz. Bastava o desenvolvedor colar sua chave de API do provedor de IA no painel de configurações do plugin e clicar em Aplicar. Naquele instante, a chave era transmitida em texto puro para um servidor controlado pelo invasor, pré-codificado no plugin . A exfiltração era silenciosa, sem qualquer indicação ao usuário de que sua credencial havia sido comprometida.

A Aikido notou um detalhe particularmente audacioso: algumas variantes do malware incluíam até um plano pago, onde as vítimas pagavam uma pequena taxa para receber de volta uma chave de API "funcional", que provavelmente havia sido roubada de outro desenvolvedor comprometido .

Linha do Tempo e Escala

De acordo com a análise da Aikido, o primeiro desses plugins maliciosos surgiu em outubro de 2025, com novos sendo publicados até junho de 2026 . Isso significa que a campanha operou no marketplace oficial por mais de oito meses antes de ser detectada.

No momento da divulgação, os 15 plugins acumulavam aproximadamente 70.000 instalações totais entre as sete contas fraudulentas de fornecedores . A escala da operação sugere que foi provavelmente a primeira campanha coordenada de malware desse tipo a penetrar com sucesso na JetBrains Marketplace .

O incidente da JetBrains não aconteceu isoladamente. Ele coincidiu com uma campanha paralela em que agentes mal-intencionados criaram uma rede de mais de 88 sites falsos de instalação, personificando o Claude Code, Cline e JetBrains, usando o Google Ads para direcionar desenvolvedores a malwares ladrões de credenciais . Juntas, essas operações sinalizam um esforço deliberado e multifacetado para atingir os segredos dos desenvolvedores de IA.

A Guerra Contra as Credenciais de IA

O ataque à JetBrains Marketplace é parte de uma tendência alarmante na cadeia de suprimentos de software. As chaves de API para grandes modelos de linguagem se tornaram alvo principal dos criminosos devido ao acesso que proporcionam. Uma chave comprometida pode ser usada para gerar contas astronômicas de inferência, acessar modelos privados e dados internos, ou pivotar para a infraestrutura de nuvem conectada.

No começo de 2026, o pacote npm codexui-android, com cerca de 28.000 downloads semanais, foi flagrado exfiltrando silenciosamente tokens de atualização OAuth (que não expiram) da OpenAI . Os invasores disfarçaram a exfiltração como tráfego rotineiro de telemetria do Sentry. Em 2025, outra campanha comprometeu 141 pacotes npm do Mastra para injetar código malicioso no momento da instalação, demonstrando ainda mais a fragilidade dos ecossistemas de desenvolvimento .

Plugins de IDE representam um alvo especialmente valioso. Dentro dos ambientes JetBrains, eles rodam com acesso total ao processo da IDE, o que significa que podem ler código-fonte, acessar credenciais armazenadas, modificar arquivos e iniciar conexões de rede . Um plugin malicioso não é apenas um risco teórico, mas uma porta dos fundos prática para tudo o que um desenvolvedor manipula. Como observou uma análise pós-incidente, um assistente de IA conectado a uma IDE é hoje uma "superfície de automação de alto privilégio" que fica ao lado do código-fonte, segredos, chaves SSH e credenciais de nuvem .

O Que Você, Desenvolvedor, Deve Fazer Agora

O risco imediato para qualquer pessoa que testou plugins assistentes de IA nos últimos meses é que sua chave de API já esteja em posse de um invasor. Especialistas em segurança destilaram a resposta em algumas etapas essenciais.

1. Rotacione IMEDIATAMENTE as chaves de API expostas. Se você instalou um plugin assistente de IA da JetBrains Marketplace entre outubro de 2025 e junho de 2026 e digitou sua chave, considere-a comprometida. Gere uma nova chave no painel do seu provedor de IA e revogue a antiga sem demora .

2. Audite seus plugins instalados. Vá em Configurações/Preferências da sua IDE, navegue até Plugins e revise a lista de instalados. Desabilite ou desinstale qualquer plugin que você não reconheça explicitamente e em que não confie. Após a remoção, reinicie a IDE para garantir que o código seja totalmente removido da memória .

3. Revise seu ambiente em busca de alterações residuais. Desinstalar um plugin não garante que todos os seus efeitos sejam desfeitos. Plugins podem modificar configurações da IDE e arquivos; verifique se há configurações inesperadas ou comportamentos de rede estranhos que persistam após a remoção .

4. Examine as permissões do plugin antes de instalar. Desconfie especialmente de plugins que solicitem amplo acesso à rede sem uma justificativa clara. Uma ferramenta de formatação de código, por exemplo, não deveria precisar se comunicar com servidores externos.

5. Adote chaves de API com escopo definido e curta duração. Sempre que seu provedor de IA oferecer suporte, restrinja as chaves a projetos ou serviços específicos e defina datas de expiração. Monitore ativamente os painéis de cobrança em busca de picos incomuns de uso, que podem ser um alerta precoce de abuso de credenciais.

6. Denuncie plugins suspeitos. Se encontrar um plugin com comportamento inesperado, use a opção "Denunciar Plugin" na página dele na JetBrains Marketplace para notificar a equipe de segurança da plataforma . A vigilância coletiva continua sendo uma das defesas mais eficazes contra ameaças na cadeia de suprimentos.