15 Plugin JetBrains Marketplace Ketahuan Curi API Key AI, Total 70 Ribu Pengguna Terdampak

CLB.my.id - Firma keamanan rantai pasokan Aikido Security mengungkap kampanye malware terkoordinasi di JetBrains Marketplace. Setidaknya 15 plugin IDE yang berpura-pura menjadi asisten coding AI ternyata dirancang untuk mencuri API key dari penyedia layanan AI seperti OpenAI, DeepSeek, dan SiliconFlow. Total plugin tersebut sudah diinstal hampir 70 ribu kali.

JetBrains mengonfirmasi temuan ini pada 16 Juni 2026 dan langsung menghapus semua 15 plugin dari Marketplace, memblokir tujuh akun penerbit yang terlibat, serta menonaktifkan plugin yang sudah terinstal di mesin pengguna melalui mekanisme remote kill-switch bawaan sistem.

Menyamar sebagai Asisten Coding AI

Plugin jahat ini menyamar sebagai alat bantu pengembangan berbasis AI yang sah. Masing-masing menawarkan fitur seperti chat AI, pembuat pesan commit, code review, pencarian bug, dan pembuatan unit test. Fungsinya berjalan persis seperti yang dijanjikan, sehingga pengguna tidak curiga.

Namun, di balik fungsionalitas yang tampak normal tersebut, plugin secara diam-diam mengirim API key yang dimasukkan pengguna ke server yang dikendalikan penyerang. Proses pencurian terjadi segera setelah pengguna menekan tombol “Apply” setelah memasukkan API key di panel pengaturan plugin, tanpa prompt, tanpa layar persetujuan, dan tanpa pemberitahuan di antarmuka pengguna.

Dikirim dalam Bentuk Plaintext

Data yang dicuri dikirimkan ke server hardcoded di alamat IP 39.107.60.51 melalui HTTP biasa tanpa enkripsi, dengan autentikasi menggunakan token statis yang juga hardcoded dalam kode plugin. Tidak ada metode obfuscation atau penyamaran apa pun pada proses pengiriman data.

Ke-15 plugin tersebut berbagi basis kode yang sama yang di-rename dan dikemas ulang untuk setiap listing. Plugin pertama muncul pada Oktober 2025, dan plugin baru terus dirilis hingga 10 Juni 2026. Jumlah unduhan bervariasi dari sekitar 300 hingga hampir 28 ribu per plugin.

Dua plugin dengan unduhan terbanyak adalah DeepSeek AI Assist dengan 27.727 unduhan dan CodeGPT AI Assistant dengan 25.517 unduhan. Kedua plugin ini dirilis pada Juni 2026, menunjukkan bahwa kampanye ini masih aktif dan terus berkembang.

Fitur Jual Ulang API Key Curian

Temuan Aikido juga mengungkap bahwa server penyerang memiliki fungsi untuk menjual kembali API key yang berhasil dicuri. Plugin-plugin ini menawarkan paywall kecil yang memungkinkan pengguna lain mengakses API key premium dengan biaya tertentu. Artinya, penyerang tidak hanya mencuri kredensial tetapi juga memonetisasinya secara langsung.

Daftar 15 Plugin yang Terdampak

Plugin yang teridentifikasi mencakup DeepSeek Junit Test, DeepSeek Git Commit, DeepSeek FindBugs, DeepSeek AI Chat, DeepSeek Dev AI, DeepSeek AI Coding, AI FindBugs, AI Git Commitor, AI Coder Review, DeepSeek Coder AI, AI Coder Assistant, DeepSeek Code Review, CodeGPT AI Assistant, DeepSeek AI Assist, dan Coding Simple Tool. JetBrains telah memicu remote kill-switch untuk semua plugin tersebut, yang secara otomatis menonaktifkannya di IDE pengguna saat aplikasi dibuka kembali.

Apa yang Harus Dilakukan Pengguna

Bagi pengembang yang pernah menginstal atau menggunakan salah satu dari 15 plugin tersebut sebelum 17 Juni 2026, JetBrains dan Aikido menyarankan untuk menganggap semua API key yang pernah dimasukkan ke dalam plugin tersebut sudah terekspos. Langkah yang harus segera diambil adalah mencabut dan membuat ulang kredensial API di konsol pengembang masing-masing penyedia layanan AI.

Kasus ini menambah daftar panjang serangan rantai pasokan yang menargetkan ekosistem plugin editor kode. Meskipun plugin berbahaya sudah umum ditemukan di repositori npm dan PyPI, kasus pencurian kredensial melalui plugin JetBrains Marketplace tergolong langka dan menjadi peringatan bagi seluruh komunitas pengembang.***