Saltar al contenido principal

Actualización de seguridad para la extensión Amazon Q Developer para Visual Studio Code (Versión #1.84)

Alcance: AWS
Tipo de contenido: importante (requiere atención)
Fecha de publicación: 23/07/2025 18:00 PDT
Fecha de actualización: 25/07/2025 18:00 PDT

Descripción:

La extensión Amazon Q Developer para Visual Studio Code (VS Code) es una herramienta de desarrollo que integra la asistencia de codificación basada en IA de Amazon Q directamente en el entorno de desarrollo integrado (IDE) de VS Code.

AWS conoce y ha solucionado un problema en la extensión Amazon Q Developer para VS Code, que está asignada a CVE-2025-8217.

Durante nuestra investigación sobre AWS-2025-016, determinamos que la extensión Amazon Q Developer para VS Code tenía un token de GitHub con un alcance inapropiado en su configuración de CodeBuild. Con ese token de acceso, el autor de la amenaza pudo introducir código malicioso en el repositorio de código abierto de la extensión, que se incluyó automáticamente en una versión. Tras identificarlo, revocamos y sustituimos inmediatamente las credenciales, eliminamos el código malintencionado del código base y, posteriormente, publicamos la versión 1.85.0 de la extensión Amazon Q Developer para VS Code.

AWS Security inspeccionó el código y determinó que el código malintencionado se distribuyó con la extensión, pero no se pudo ejecutar debido a un error de sintaxis. Esto evitó que el código malintencionado realizara cambios en los servicios o entornos de los clientes.

Actualizaremos este boletín si tenemos información adicional que compartir.

Versiones afectadas:

Extensión Amazon Q Developer para Visual Studio Code (versión 1.84.0)

Resolución:

AWS ha tomado todas las medidas de mitigación necesarias para proteger los sistemas de AWS y ha publicado la versión 1.85.0 de la extensión Amazon Q Developer para VS Code. Esto incluye eliminar la versión 1.84.0 de los canales de distribución para que ningún otro cliente pueda instalarla. Si bien el código malintencionado no se puede ejecutar, sigue presente en las instalaciones existentes de la versión 1.84.0. Por lo tanto, todas las instalaciones de la versión 1.84.0 deben dejar de usarse y los clientes deben actualizar a la versión 1.85.0, incluidas las copias bifurcadas o derivadas.

Para actualizar la extensión Amazon Q Developer para VS Code:

  • Abra Visual Studio Code
  • Navegue al panel de extensiones
  • Localice Amazon Q Developer
  • Haga clic en el botón Actualizar

Consulte el siguiente hash para la versión 1.84.0:

  • sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464

Referencias:

Si tiene alguna pregunta o duda sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.