Passa al contenuto principale

Aggiornamento di sicurezza per l'estensione Amazon Q Developer per Visual Studio Code (versione 1.84)

Ambito: AWS
Tipo di contenuto: Importante (richiede attenzione)
Data di pubblicazione: 23/07/2025 18:00 PDT
Data di aggiornamento: 25/07/2025 18:00 PDT

Descrizione:

L'estensione Amazon Q Developer per Visual Studio Code (VS Code) è uno strumento di sviluppo che integra l'assistenza alla codifica basata sull'intelligenza artificiale di Amazon Q direttamente nell'ambiente di sviluppo integrato (IDE) di VS Code.

AWS è a conoscenza di un problema nell'estensione Amazon Q Developer per VS Code, identificato come CVE-2025-8217, e lo ha risolto.

Nel corso della nostra indagine relativa all'AWS-2025-016, abbiamo determinato che l'estensione Amazon Q Developer per VS Code aveva un token GitHub con ambito inappropriato nella configurazione di CodeBuild. Con tale token di accesso, l'autore della minaccia è riuscito a inserire codice dannoso nel repository open source dell'estensione, che è stato automaticamente incluso in una versione. Dopo aver individuato il problema, abbiamo immediatamente revocato e sostituito le credenziali, rimosso il codice dannoso dal codebase e rilasciato l’estensione Amazon Q Developer per VS Code versione 1.85.0.

AWS Security ha ispezionato il codice e ha accertato che il codice dannoso è stato distribuito insieme all’estensione, ma l'esecuzione è fallita a causa di un errore di sintassi. Ciò ha impedito al codice dannoso di apportare modifiche a qualsiasi servizio o ambiente dei clienti.

Aggiorneremo questo bollettino se avremo ulteriori informazioni da condividere.

Versioni interessate:

Estensione Amazon Q Developer per Visual Studio Code (versione 1.84.0)

Risoluzione:

AWS ha adottato tutte le misure di mitigazione necessarie per proteggere i sistemi AWS e ha rilasciato l'estensione Amazon Q Developer per VS Code versione 1.85.0. Ciò include la rimozione della versione 1.84.0 dai canali di distribuzione in modo che nessun altro cliente possa installarla. Sebbene il codice dannoso non possa essere eseguito, è ancora presente nelle installazioni esistenti della versione 1.84.0. Pertanto, tutte le installazioni della versione 1.84.0 devono essere rimosse dall'uso e i clienti devono eseguire l'aggiornamento alla 1.85.0, comprese le copie fork o derivate.

Per aggiornare l'estensione Amazon Q Developer per VS Code:

  • Apri Visual Studio Code
  • Vai al pannello Estensioni
  • Trova Amazon Q Developer
  • Fai clic sul pulsante Aggiorna

Consigliamo di fare riferimento al seguente hash per la versione 1.84.0:

  • sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464

Riferimenti:

Inviare un'e-mail ad aws-security@amazon.com per eventuali domande o dubbi sulla sicurezza.