Des extensions piégées dans l'écosystème JetBrains
Une campagne malveillante cible les développeurs utilisant l'environnement de développement intégré (IDE) JetBrains. Des plugins frauduleux, disponibles sur le Marketplace officiel de la société, ont été identifiés comme étant des logiciels malveillants. Leur objectif principal est de dérober les clés API permettant d'accéder à des services d'intelligence artificielle.
Les plugins incriminés se présentent sous l'apparence d'outils légitimes, souvent liés à des fonctionnalités de productivité ou d'intégration avec des plateformes d'IA. Une fois installés, ils exécutent du code malveillant en arrière-plan. Ce code est programmé pour collecter les clés API configurées dans l'environnement de développement de la victime, puis les transmettre à des serveurs contrôlés par les attaquants.
Un risque élevé pour les projets utilisant l'IA
Les clés API d'IA, particulièrement celles d'OpenAI (ChatGPT), d'Anthropic (Claude) ou de Google Generative AI, sont très prisées. Elles permettent d'utiliser des services payants dont les coûts peuvent être élevés. En les dérobant, les pirates peuvent les exploiter à leur compte, engendrant des factures importantes pour les développeurs ou entreprises victimes. Dans certains cas, l'accès aux historiques de conversations ou aux modèles utilisés peut également être compromis, menant à une fuite de données sensibles.
Les chercheurs en sécurité qui ont mis au jour cette campagne soulignent que les plugins malveillants imitent des noms et des descriptions d'extensions populaires pour tromper les utilisateurs. La page de téléchargement et les avis peuvent être falsifiés pour donner une illusion de légitimité.
Comment se protéger
Pour se prémunir de cette menace, les développeurs sont invités à vérifier scrupuleusement l'éditeur d'un plugin avant de l'installer. Il est recommandé de ne télécharger que des extensions provenant d'éditeurs reconnus et de consulter les avis récents sur le Marketplace. Les équipes de sécurité conseillent également de limiter les permissions accordées aux plugins et de surveiller les connexions réseau sortantes depuis l'IDE.
JetBrains a été informé de la présence de ces extensions malveillantes et a entrepris de les retirer de son Marketplace. Cependant, les plugins déjà installés sur les postes des développeurs continuent de fonctionner tant qu'ils ne sont pas désinstallés.
Une menace grandissante pour la chaîne d'approvisionnement logicielle
Cette attaque s'inscrit dans une tendance plus large de compromission de la chaîne d'approvisionnement logicielle. En ciblant les environnements de développement, les assaillants cherchent à obtenir un accès privilégié aux systèmes des entreprises. La découverte de ces plugins malveillants rappelle la nécessité d'une vigilance constante lors de l'installation de tout composant tiers, même provenant de places de marché officielles.
Les développeurs sont invités à changer immédiatement leurs clés API s'ils soupçonnent une compromission, à vérifier les plugins installés dans leur IDE et à signaler toute extension suspecte aux autorités compétentes ou à l'éditeur de la plateforme.
