Étendue : AWS
Type de contenu : important (nécessite une attention particulière)
Date de publication : 23/07/2025 à 18 h (heure du Pacifique)
Date de mise à jour : 25/07/2025 à 18 h (heure du Pacifique)

Description :

L’extension Amazon Q Developer pour Visual Studio Code (VS Code) est un outil de développement qui intègre l’assistance au codage basée sur l’IA d’Amazon Q directement dans l’environnement de développement intégré (IDE) VS Code.

AWS a connaissance d’un problème lié à l’extension Amazon Q Developer pour VS Code. Ce problème a reçu le code CVE-2025-8217 et a été résolu.

Au cours de notre enquête sur AWS-2025-016, nous avons découvert que l’extension Amazon Q Developer pour VS Code avait un jeton GitHub à la portée inappropriée dans sa configuration CodeBuild. Grâce à ce jeton d’accès, l’auteur de la menace pouvait introduire du code malveillant dans le référentiel open source de l’extension, qui était automatiquement inclus dans une version. Après avoir identifié ce problème, nous avons immédiatement révoqué et remplacé les informations d’identification, supprimé le code malveillant de la base de code, puis publié la version 1.85.0 de l’extension Amazon Q Developer pour VS Code.

L’équipe de sécurité AWS a inspecté le code et déterminé que le code malveillant avait été distribué avec l’extension, mais qu’il n’avait pas pu s’exécuter en raison d’une erreur de syntaxe. En raison de cela, le code malveillant n’a pu apporter des modifications à aucun service ou environnement client.

Nous mettrons à jour ce bulletin si nous avons des informations supplémentaires à partager.

Versions affectées :

Extension Amazon Q Developer pour Visual Studio Code (version 1.84.0)

Résolution :

AWS a pris toutes les mesures d’atténuation nécessaires pour sécuriser les systèmes AWS et a publié la version 1.85.0 de l’extension Amazon Q Developer pour VS Code. Cela inclut la suppression de la version 1.84.0 des canaux de distribution afin qu’aucun autre client ne puisse l’installer. Bien que le code malveillant ne puisse pas s’exécuter, il est toujours présent dans les installations existantes de la version 1.84.0. Par conséquent, toutes les installations de la version 1.84.0 doivent être supprimées, et les clients doivent passer à la version 1.85.0. Cela s’applique pour toute copie bifurquée ou dérivée.

Pour mettre à jour votre extension Amazon Q Developer pour VS Code :

• Ouvrez Visual Studio Code.
• Accédez au panneau Extensions.
• Localisez Amazon Q Developer.
• Cliquez sur le bouton Mettre à jour.

Veuillez vous reporter au hachage suivant pour la version 1.84.0 :

• sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464
  

Références :

• https://github.com/aws/aws-toolkit-vscode
• CVE-2025-8217
• GHSA-7g7f-ff96-5gcw
• AWS-2025-016

Veuillez envoyer un e-mail à aws-security@amazon.com pour toute question ou préoccupation relative à la sécurité.