JetBrains Marketplace-এ ১৫টি ক্ষতিকর প্লাগইন: ডেভেলপারদের AI API Key চুরির অভিযোগ

লেখক: Aminul Islam Suptho

JetBrains Marketplace-এ প্রকাশিত অন্তত ১৫টি ক্ষতিকর প্লাগইন ডেভেলপারদের ব্যবহৃত AI সেবার API Key চুরির উদ্দেশ্যে তৈরি করা হয়েছে বলে দাবি করেছে নিরাপত্তা গবেষণা প্রতিষ্ঠান Aikido Security।

গবেষকদের মতে, এই সমন্বিত ম্যালওয়্যার অভিযানে এমন কিছু প্লাগইন ব্যবহার করা হয়েছে যেগুলো নিজেদের AI কোডিং সহকারী, কোড রিভিউ টুল বা Git ইউটিলিটি হিসেবে উপস্থাপন করে। এসব প্লাগইন জনপ্রিয় AI সেবা যেমন OpenAI, DeepSeek এবং SiliconFlow-এর সঙ্গে কাজ করার দাবি করে।

Aikido Security জানিয়েছে, সাতটি ভিন্ন ভেন্ডর অ্যাকাউন্টের অধীনে প্রকাশিত অন্তত ১৫টি প্লাগইনের মধ্যে একই ধরনের গোপন আচরণ শনাক্ত করা হয়েছে। ব্যবহারকারীরা প্লাগইনের সেটিংসে যে AI API Key সংরক্ষণ করেন, সেগুলো গোপনে আক্রমণকারীদের সার্ভারে পাঠিয়ে দেওয়া হয়। গবেষকদের হিসাব অনুযায়ী, এসব প্লাগইন মিলিয়ে প্রায় ৭০ হাজারবার ইনস্টল করা হয়েছে।

তদন্তে দেখা গেছে, ক্ষতিকর প্লাগইনগুলোর প্রথম সংস্করণ ২০২৫ সালের অক্টোবর মাসে প্রকাশিত হয়। তবে নতুন প্লাগইন প্রকাশের কার্যক্রম ২০২৬ সালের ১০ জুন পর্যন্ত চলমান ছিল।

কীভাবে চুরি করা হচ্ছিল API Key?

Aikido-এর প্রতিবেদনে বলা হয়েছে, প্লাগইনগুলো তাদের ঘোষিত ফিচার অনুযায়ী কাজ করলেও এর আড়ালে ব্যবহারকারীদের API Key সংগ্রহ করত। কোনো ব্যবহারকারী প্লাগইনের সেটিংসে API Key যুক্ত করে “Apply” বাটনে ক্লিক করলে সেটি একটি নির্দিষ্ট সার্ভারে HTTP প্রোটোকলের মাধ্যমে পাঠিয়ে দেওয়া হতো।

গবেষকদের মতে, চুরি হওয়া তথ্য পাঠানোর জন্য ব্যবহৃত সার্ভারের ঠিকানা ছিল:

http://39.107.60.51/api/software/key

সবগুলো প্লাগইনের সোর্স কোড বিশ্লেষণ করে একই ধরনের ডেটা চুরির কার্যক্রমের প্রমাণ পাওয়া গেছে।

চুরি করা Key কি অন্যদের কাছে বিক্রি করা হচ্ছিল?

Aikido আরও জানিয়েছে, প্লাগইনগুলোর মধ্যে এমন একটি ব্যবস্থা ছিল যেখানে অর্থ প্রদানকারী ব্যবহারকারীদের কাছে সার্ভার থেকে API Key সরবরাহ করা হতো।

গবেষকদের ধারণা, প্লাগইন পরিচালনাকারীরা বিনামূল্যে ব্যবহারকারীদের কাছ থেকে API Key সংগ্রহ করে পরে সেগুলো অর্থ প্রদানকারী ব্যবহারকারীদের মধ্যে বিতরণ করে থাকতে পারে।

Aikido-এর ভাষ্য অনুযায়ী, কোনো বৈধ AI সেবা প্রদানকারী সাধারণত ব্যবহারকারীদের কাছে সীমাহীন ব্যবহারের জন্য সরাসরি কার্যকর API Key সরবরাহ করে না। ফলে এই আচরণ অত্যন্ত সন্দেহজনক।

স্বাধীন বিশ্লেষণেও মিলেছে প্রমাণ

নিরাপত্তা বিষয়ক সংবাদমাধ্যম BleepingComputer ‘DeepSeek AI Assist’ নামের একটি প্লাগইনের সর্বশেষ সংস্করণ ডাউনলোড ও বিশ্লেষণ করে Aikido-এর প্রতিবেদনের তথ্য স্বাধীনভাবে যাচাই করেছে।

তাদের বিশ্লেষণেও API Key চুরির কোডের উপস্থিতি নিশ্চিত হয়েছে। প্রতিবেদনের সময় পর্যন্ত প্লাগইনটি JetBrains Marketplace-এ ডাউনলোডের জন্য উপলব্ধ ছিল।

শনাক্ত হওয়া ক্ষতিকর প্লাগইনসমূহ

• DeepSeek Junit Test
• DeepSeek Git Commit
• DeepSeek FindBugs
• DeepSeek AI Chat
• DeepSeek Dev AI
• DeepSeek AI Coding
• AI FindBugs
• AI Git Commitor
• AI Coder Review
• DeepSeek Coder AI
• AI Coder Assistant
• DeepSeek Code Review
• CodeGPT AI Assistant
• DeepSeek AI Assist
• Coding Simple Tool

এর মধ্যে সবচেয়ে বেশি ডাউনলোড হওয়া দুটি প্লাগইন হলো DeepSeek AI Assist (২৭,৭২৭ ডাউনলোড) এবং CodeGPT AI Assistant (২৫,৫৭১ ডাউনলোড)।

তবে গবেষকরা সতর্ক করে বলেছেন, ডাউনলোড সংখ্যা সবসময় প্রকৃত ব্যবহারকারীর সংখ্যা নির্দেশ করে না এবং এটি বিভিন্ন উপায়ে প্রভাবিত বা কৃত্রিমভাবে বাড়ানো সম্ভব।

ডেভেলপারদের জন্য সতর্কবার্তা

npm বা PyPI-এর মতো সফটওয়্যার রিপোজিটরিতে ক্ষতিকর প্যাকেজ পাওয়া তুলনামূলকভাবে সাধারণ ঘটনা হলেও JetBrains Marketplace-এর মাধ্যমে API Key চুরির এমন ঘটনা খুবই বিরল।

বিশেষজ্ঞরা ডেভেলপারদের অজানা বা কম পরিচিত প্লাগইন ব্যবহারের আগে সোর্স কোড, প্রকাশকের পরিচয় এবং কমিউনিটির প্রতিক্রিয়া যাচাই করার পরামর্শ দিয়েছেন। এছাড়া AI API Key ব্যবহারের ক্ষেত্রে নিয়মিত রোটেশন, সীমিত অনুমতি এবং ব্যবহারের লগ পর্যবেক্ষণের পরামর্শও দেওয়া হয়েছে।

JetBrains-এর কাছে এ বিষয়ে মন্তব্য চাওয়া হলেও প্রতিবেদন প্রকাশ পর্যন্ত প্রতিষ্ঠানটির কোনো আনুষ্ঠানিক প্রতিক্রিয়া পাওয়া যায়নি।