범위: AWS
콘텐츠 유형: 중요(주의 필요)
게시일: 2025년 7월 23일 오후 6시(PDT)
최종 업데이트 날짜: 2025년 7월 25일 오후 6시 PDT

설명:

Visual Studio Code(VS Code)용 Amazon Q Developer 확장 프로그램은 Amazon Q의 AI 기반 코딩 지원을 VS 코드 통합 개발 환경(IDE)에 직접 통합하는 개발 도구입니다.

AWS는 CVE-2025-8217에 할당된 VS Code용 Amazon Q Developer 확장 프로그램에서 발생한 문제를 파악하고 해결했습니다.

AWS-2025-016을 조사하는 과정에서 VS Code용 Amazon Q Developer 확장 프로그램의 CodeBuild 구성에서 범위가 부적절하게 지정된 GitHub 토큰이 있는 것으로 확인되었습니다. 위협 행위자가 이 액세스 토큰을 악용하면 릴리스에 자동으로 포함된 확장 프로그램의 오픈 소스 리포지토리에 악성 코드를 커밋할 수 있었습니다. 이 문제를 확인한 후 즉시 자격 증명을 취소하고 교체했으며 코드 베이스에서 악성 코드를 제거한 후 VS Code용 Amazon Q Developer 확장 프로그램 버전 1.85.0을 릴리스했습니다.

AWS Security가 코드를 검사한 결과 악성 코드가 확장 프로그램과 함께 배포되었지만, 구문 오류로 인해 실행에 실패한 것으로 확인되었습니다. 이로 인해 악성 코드가 서비스 또는 고객 환경을 변경할 수 없었습니다.

공유할 추가 정보가 있는 경우 이 공지를 업데이트하겠습니다.

영향을 받는 버전:

Visual Studio Code용 Amazon Q Developer 확장 프로그램(버전 1.84.0)

해결 방법:

AWS는 AWS 시스템을 보호하기 위해 필요한 모든 문제 해결 조치를 취했으며 VS Code용 Amazon Q Developer 확장 프로그램 버전 1.85.0을 릴리스했습니다. 여기에는 고객이 더 이상 설치할 수 없도록 배포 채널에서 1.84.0을 제거하는 조치도 포함됩니다. 악성 코드는 실행되지는 않지만 기존 1.84.0 설치 파일에 여전히 존재합니다. 따라서 1.84.0의 모든 설치를 제거해야 하며, 고객은 포크된 사본이나 파생된 사본을 포함하여 모두 1.85.0으로 업데이트해야 합니다.

VS Code용 Amazon Q Developer 확장 프로그램을 업데이트하려면:

• Visual Studio Code를 엽니다.
• 확장 프로그램 패널로 이동합니다.
• Amazon Q Developer를 찾습니다.
• 업데이트 버튼을 클릭합니다.

버전 1.84.0의 경우 다음 해시를 참조하세요.

• sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464
  

참고 사항:

• https://github.com/aws/aws-toolkit-vscode
• CVE-2025-8217
• GHSA-7g7f-ff96-5gcw
• AWS-2025-016

보안 관련 질문이나 우려 사항이 있는 경우 이메일(aws-security@amazon.com)을 통해 문의하세요.