JetBrains remove 15 plugins maliciosos de IA do Marketplace após detecção de atividade suspeita

A JetBrains não só removeu 15 plugins, mas expôs uma falha estrutural no modelo de confiança implícita do ecossistema de IDEs: ferramentas que pedem chaves de API, mesmo com selo 'Verified Vendor', têm acesso total ao JVM e à rede do desenvolvedor. O ataque foi técnico e direto: um X509TrustManager personalizado desativava alertas de TLS em tempo de execução, e o payload com a chave era enviado via HTTP em texto claro para 39.107.60.51, sem criptografia, sem assinatura, sem verificação de destino. Isso não é engenharia social avançada. É exploração de uma lacuna operacional: o Plugin Verifier da JetBrains, até então, não inspecionava fluxos de dados sensíveis nem endpoints brutos no código-fonte.

O mais grave? Esses plugins estavam no Marketplace desde outubro de 2025. Novas versões surgiram até 10 de junho de 2026, ou seja, passaram por pelo menos duas rodadas de revisão manual sem serem barradas. A Aikido Security encontrou evidências de um tier premium desses plugins, sugerindo que as chaves roubadas eram comercializadas. Não se tratava de prova de conceito. Era infraestrutura de exfiltração em produção.

Em abril de 2026, a CEVIU já havia alertado sobre backdoors em plugins WordPress e pacotes npm maliciosos com hooks de instalação que comprometiam servidores. Mas aqui, o vetor é novo: não é dependência oculta, é extensão aparentemente útil, instalada voluntariamente por devs que querem acelerar workflows com IA. Em maio, o caso do GitHub com extensões VS Code mostrou exfiltração de repositórios internos, mas os plugins JetBrains não precisaram de acesso ao Git. Eles capturaram credenciais na fonte: o momento exato em que o dev coloca sua chave no campo de configuração. A mudança real está na escala e no alvo: agora, não são apenas tokens de acesso a nuvem, mas chaves de API de modelos de IA, ativos críticos para treino, inferência e governança de dados.

Chaves de API de IA não são senhas descartáveis. Elas dão acesso a modelos proprietários, histórico de prompts, dados de contexto e até pipelines de fine-tuning. Uma única chave vazada pode gerar custos inesperados (como os spikes detectados em dashboards do DeepSeek), permitir extração de IP corporativo via prompts, ou até treinar modelos adversários com dados sensíveis. O CRA da UE, que entra em vigor em setembro de 2026, classifica esse tipo de incidente como 'vulnerabilidade explorada ativamente', exigindo notificação em até 24 horas e SBOM completo. Ignorar isso não é negligência técnica. É risco regulatório com valor mensurável: US$ 1,78 milhão em média por violação envolvendo credenciais não humanas.