🔍 Contexte
Source : BleepingComputer, publié le 16 juin 2026. La société Aikido Security a découvert une campagne malveillante coordonnée ciblant les développeurs via le JetBrains Marketplace, la place de marché officielle des plugins pour les IDE JetBrains (IntelliJ, PyCharm, etc.).
🎯 Nature de l’attaque
Au moins 15 plugins malveillants, publiés sous 7 comptes vendeurs distincts, ont été identifiés. Ces plugins se présentent comme des assistants de codage IA, des outils de revue de code et des utilitaires Git s’appuyant sur des services populaires tels qu’OpenAI, DeepSeek et SiliconFlow. Ils fonctionnent comme annoncé mais intègrent un comportement caché d’exfiltration de credentials.
⚙️ Mécanisme technique
- Lorsqu’un utilisateur saisit une clé API dans les paramètres du plugin et clique sur “Apply”, la clé est transmise en clair via HTTP à un serveur hardcodé :
- IP :
39.107.60.51 - URL :
http://39.107.60.51/api/software/key
- IP :
- Tous les 15 plugins partagent un code similaire malgré des identifiants différents.
- Le serveur distant dispose également d’une fonctionnalité permettant de fournir des clés API à des utilisateurs payants, suggérant un modèle de monétisation basé sur la revente des clés volées.
📦 Plugins identifiés
- DeepSeek Junit Test (
org.sm.yms.toolkit) - DeepSeek Git Commit (
com.json.simple.kit) - DeepSeek FindBugs (
org.bug.find.tools) - DeepSeek AI Chat (
org.translate.ai.simple) - DeepSeek Dev AI (
com.yy.test.ai.simple) - DeepSeek AI Coding (
com.dev.ai.toolkit) - AI FindBugs (
com.json.view.simple) - AI Git Commitor (
com.my.git.ai.kit) - AI Coder Review (
org.check.ai.ds) - DeepSeek Coder AI (
com.review.tool.code) - AI Coder Assistant (
org.code.assist.dev.tool) - DeepSeek Code Review (
com.coder.ai.dpt) - CodeGPT AI Assistant (
com.my.code.tools) - DeepSeek AI Assist (
ord.cp.code.ai.kit) — 27 727 téléchargements - Coding Simple Tool (
com.dp.git.ai.tool)
📊 Impact
- ~70 000 installations cumulées recensées.
- Première publication : octobre 2025, dernière publication connue : 10 juin 2026.
- BleepingComputer a confirmé indépendamment la présence du code malveillant dans le plugin DeepSeek AI Assist, toujours disponible au téléchargement au moment de la publication.
- JetBrains n’avait pas répondu aux sollicitations de BleepingComputer au moment de la publication.
📰 Type d’article
Article de presse spécialisée basé sur un rapport de recherche d’Aikido Security, visant à alerter la communauté des développeurs sur une campagne active de vol de credentials via des plugins IDE malveillants.
🧠 TTPs et IOCs détectés
TTP
- T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
- T1539 — Steal Web Session Cookie (Credential Access)
- T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
- T1041 — Exfiltration Over C2 Channel (Exfiltration)
- T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
IOC
- IPv4 :
39.107.60.51— AbuseIPDB · VT · ThreatFox - URLs :
http://39.107.60.51/api/software/key— URLhaus
Malware / Outils
- DeepSeek AI Assist (stealer)
- CodeGPT AI Assistant (stealer)
- DeepSeek Junit Test (stealer)
- DeepSeek Git Commit (stealer)
- DeepSeek FindBugs (stealer)
- DeepSeek AI Chat (stealer)
- DeepSeek Dev AI (stealer)
- DeepSeek AI Coding (stealer)
- AI FindBugs (stealer)
- AI Git Commitor (stealer)
- AI Coder Review (stealer)
- DeepSeek Coder AI (stealer)
- AI Coder Assistant (stealer)
- DeepSeek Code Review (stealer)
- Coding Simple Tool (stealer)
🟢 Indice de vérification factuelle : 74/100 (haute)
- ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
- ✅ 4298 chars — texte complet (fulltext extrait) (15pts)
- ✅ 2 IOC(s) (6pts)
- ✅ 1/2 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, URLhaus, VirusTotal) (8pts)
- ✅ 5 TTPs MITRE identifiées (15pts)
- ✅ date extraite du HTML source (10pts)
- ⬜ aucun acteur de menace nommé (0pts)
- ⬜ pas de CVE à vérifier (0pts)
IOCs confirmés externellement :
39.107.60.51(ip) → VT (4/91 détections)
🔗 Source originale : https://www.bleepingcomputer.com/news/security/malicious-jetbrains-marketplace-plugins-steal-ai-api-keys-from-developers/