Una campaña maliciosa usó plugins de desarrollo para copiar claves privadas de servicios de IA.
Una campaña maliciosa afectó a JetBrains Marketplace, la tienda donde muchos desarrolladores descargan plugins para sus entornos de programación. Al menos 15 complementos estaban preparados para robar claves de API de servicios de inteligencia artificial.
Los plugins se presentaban como asistentes para escribir código, revisar errores o trabajar con Git. Por fuera parecían herramientas normales de productividad.
La campaña fue descubierta por Aikido Security. Según sus investigadores, los plugins se publicaron mediante siete cuentas de vendedor y compartían un comportamiento oculto. En conjunto, acumulaban cerca de 70.000 descargas, aunque esos recuentos pueden manipularse y no siempre equivalen a instalaciones reales.
El robo ocurría cuando el usuario introducía una clave de API en los ajustes del plugin y pulsaba "Apply". En ese momento, la clave se enviaba por HTTP a un servidor controlado por los atacantes.
Estas claves sirven para acceder a plataformas de IA como OpenAI, DeepSeek o SiliconFlow. Si alguien las obtiene, puede consumir servicios a nombre de otra persona.
Los primeros plugins se publicaron en octubre de 2025 y otros aparecieron todavía el 10 de junio de 2026. También había una función de pago: tras una pequeña aportación, el servidor podía devolver una clave para que el plugin la usara. No estaba claro de dónde salían esas claves.
Para reducir el daño, los usuarios afectados deben eliminar los plugins sospechosos, renovar sus claves de API y revisar si hubo consumos extraños.
Basado en: Lawrence Abrams, BleepingComputer