🎯 Contexte

L’article est publié le 16 juin 2026 par Aikido Security. Il documente la découverte d’une campagne malveillante coordonnée ciblant le JetBrains Marketplace, l’écosystème de plugins pour les IDE JetBrains.

🦠 Description de la campagne

15 plugins IDE publiés sous 7 comptes vendeurs distincts partagent un code malveillant commun. Chaque plugin se présente comme un assistant de codage IA basé sur DeepSeek ou d’autres LLMs, proposant des fonctionnalités légitimes (chat, revue de code, tests unitaires, messages de commit). Les premières versions sont apparues fin octobre 2025, et de nouvelles continuaient d’être publiées en juin 2026.

⚙️ Mécanisme d’exfiltration

Lorsqu’un utilisateur saisit une clé API (OpenAI, SiliconFlow, DeepSeek) dans les paramètres du plugin et clique sur « Apply », la méthode save() exfiltre immédiatement la clé vers un serveur C2 hardcodé à l’adresse IP 39.107.60.51, via HTTP en clair, authentifié par un token statique embarqué dans le plugin. Aucune notification ni consentement n’est affiché à l’utilisateur.

💰 Modèle économique supposé

Les plugins proposent également un niveau payant : après paiement, le serveur attaquant renvoie une clé API fonctionnelle au client. La théorie avancée est que les clés volées aux victimes gratuites sont revendues aux utilisateurs payants, créant un service de revente de credentials volés.

📋 Plugins affectés (sélection)

  • CodeGPT AI Assistant (com.my.code.tools) – 25 571 téléchargements, publié 2026-06-09
  • DeepSeek AI Assist (ord.cp.code.ai.kit) – 27 727 téléchargements, publié 2026-06-10
  • DeepSeek Coder AI (com.review.tool.code) – 3 498 téléchargements
  • Coding Simple Tool (com.dp.git.ai.tool) – 3 931 téléchargements
  • Et 11 autres plugins publiés entre octobre 2025 et juin 2026

🏢 Comptes vendeurs impliqués

CodePilot, StackSmith, CodeCrafter, CodeWeaver, JetCode, DailyCode, ZenCoder

🔗 Indicateurs de compromission

  • IP C2 : 39.107.60.51 (communication HTTP en clair)

📰 Nature de l’article

Il s’agit d’une publication de recherche / analyse technique produite par Aikido Security, visant à alerter les développeurs utilisant des plugins JetBrains et à documenter les IoCs associés à cette campagne de supply chain.

🧠 TTPs et IOCs détectés

TTP

  • T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
  • T1552.001 — Unsecured Credentials: Credentials In Files (Credential Access)
  • T1041 — Exfiltration Over C2 Channel (Exfiltration)
  • T1071.001 — Application Layer Protocol: Web Protocols (Command and Control)
  • T1608.001 — Stage Capabilities: Upload Malware (Resource Development)

IOC

Malware / Outils

  • DeepSeek Junit Test (stealer)
  • DeepSeek Git Commit (stealer)
  • DeepSeek FindBugs (stealer)
  • DeepSeek AI Chat (stealer)
  • DeepSeek Dev AI (stealer)
  • DeepSeek AI Coding (stealer)
  • AI FindBugs (stealer)
  • AI Git Commitor (stealer)
  • AI Coder Review (stealer)
  • DeepSeek Coder AI (stealer)
  • AI Coder Assistant (stealer)
  • DeepSeek Code Review (stealer)
  • CodeGPT AI Assistant (stealer)
  • DeepSeek AI Assist (stealer)
  • Coding Simple Tool (stealer)

🟡 Indice de vérification factuelle : 54/100 (moyenne)

  • ⬜ cloudbasedbackup.com — source non référencée (0pts)
  • ✅ 9700 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ✅ 1/1 IOC(s) confirmé(s) (AbuseIPDB, ThreatFox, VirusTotal) (8pts)
  • ✅ 5 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

IOCs confirmés externellement :

  • 39.107.60.51 (ip) → VT (4/91 détections)

🔗 Source originale : https://cloudbasedbackup.com/fr/blog/comment-configurer-nextcloud-sur-macos-pour-les-fichiers-calendriers-et-contacts