Amazon Q Developer 扩展安全漏洞分析与修复指南
Amazon Q Developer for Visual Studio Code 扩展安全更新(版本 1.84)
范围: AWS
内容类型: 重要(需要关注)
发布日期: 2025 年 7 月 23 日 下午 6:00 PDT
更新日期: 2025 年 7 月 25 日 下午 6:00 PDT
描述
Amazon Q Developer for Visual Studio Code(VS Code)扩展是一款开发工具,将 Amazon Q 的 AI 驱动编码助手直接集成到 VS Code 集成开发环境(IDE)中。
AWS 已发现并解决了 Amazon Q Developer for VS Code 扩展中的一个问题,该问题被分配为 CVE-2025-8217。
在我们对 AWS-2025-016 的调查过程中,我们确定 Amazon Q Developer for VS Code 扩展在其 CodeBuild 配置中存在一个权限范围不当的 GitHub 令牌。攻击者利用该访问令牌将恶意代码提交到扩展的开源仓库中,这些代码被自动包含在一个发布版本中。发现此问题后,我们立即撤销并替换了凭据,从代码库中移除了恶意代码,随后发布了 Amazon Q Developer for VS Code 扩展版本 1.85.0。
AWS 安全部门已检查代码,并确定恶意代码随扩展分发,但由于语法错误未能成功执行。这阻止了恶意代码对任何服务或客户环境进行更改。
如果我们有更多信息需要分享,将更新此公告。
受影响版本
Amazon Q Developer for Visual Studio Code 扩展(版本 1.84.0)
解决方案
AWS 已采取所有必要的缓解措施来保护 AWS 系统,并发布了 Amazon Q Developer for VS Code 扩展版本 1.85.0。这包括从分发渠道中移除 1.84.0 版本,以确保没有更多客户可以安装它。虽然恶意代码无法执行,但它仍然存在于现有的 1.84.0 安装中。因此,所有 1.84.0 的安装都应停止使用,客户应更新到 1.85.0,包括任何分叉或衍生副本。
要更新您的 Amazon Q Developer for VS Code 扩展:
打开 Visual Studio Code
导航到扩展面板
找到 Amazon Q Developer
点击更新按钮
版本 1.84.0 的哈希值如下:
sha256: 47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464
参考链接
https://github.com/aws/aws-toolkit-vscode
CVE-2025-8217
GHSA-7g7f-ff96-5gcw
AWS-2025-016
如有任何安全问题或疑虑,请发送邮件至 aws-security@amazon.com。更多精彩内容 请关注我的个人公众号 公众号(办公 AI 智能小助手)对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码

公众号二维码

评论