Pular para o conteúdo principal

Atualização de segurança para a extensão do Amazon Q Developer para Visual Studio Code (versão 1.84)

Escopo: AWS
Tipo de conteúdo: Importante (requer atenção)
Data da publicação: 26/07/2025 18h PDT
Data de atualização: 25/07/2025 18h PDT

Descrição:

A extensão Amazon Q Developer for Visual Studio Code (VS Code) é uma ferramenta de desenvolvimento que integra a assistência de codificação baseada em IA do Amazon Q diretamente ao ambiente de desenvolvimento integrado (IDE) do VS Code.

A AWS está ciente e resolveu um problema na extensão Amazon Q Developer para VS Code, que está atribuído ao CVE-2025-8217.

Durante nossa investigação do AWS-2025-016, determinamos que a extensão Amazon Q Developer para VS Code tinha um token do GitHub com escopo inadequado na configuração do CodeBuild. Com esse token de acesso, o agente da ameaça conseguiu enviar um código malicioso para o repositório de código aberto da extensão, que foi automaticamente incluído em uma versão. Depois de identificarmos isso, revogamos e substituímos imediatamente as credenciais, removemos o código malicioso da base de código e, posteriormente, lançamos a extensão Amazon Q Developer para VS Code versão 1.85.0.

A segurança da AWS inspecionou o código e determinou que o código malicioso foi distribuído com a extensão, mas não teve êxito na execução devido a um erro de sintaxe. Isso evitou que o código malicioso fizesse alterações em qualquer serviço ou ambiente do cliente.

Atualizaremos este boletim se tivermos mais informações para compartilhar.

Versões afetadas:

Extensão Amazon Q Developer para Visual Studio Code (versão 1.84.0)

Resolução:

A AWS tomou todas as medidas de mitigação necessárias para proteger os sistemas da AWS e lançou a extensão Amazon Q Developer para VS Code versão 1.85.0. Isso inclui remover a versão 1.84.0 dos canais de distribuição para que mais nenhum cliente possa instalá-la. Embora o código malicioso não possa ser executado, ele ainda está presente nas instalações existentes da versão 1.84.0. Dessa forma, todas as instalações da 1.84.0 não devem ser usadas e os clientes devem atualizar para a 1.85.0, incluindo quaisquer cópias bifurcadas ou derivadas.

Para atualizar sua extensão Amazon Q Developer para VS Code:

  • Abra o Visual Studio Code
  • Navegue até o painel Extensões
  • Localize o Amazon Q Developer
  • Clique no botão Atualizar

Consulte o seguinte hash para a versão 1.84.0:

  • sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464

Referências:

Envie um e-mail para aws-security@amazon.com com qualquer dúvida ou preocupação relacionada à segurança.