Incidentes Asociados
Alcance: AWS
Tipo de contenido: Importante (requiere atención)
Fecha de publicación: 23/07/2025 18:00 PDT
Fecha de actualización: 25/07/2025 18:00 PDT
Descripción:
La extensión Amazon Q Developer para Visual Studio Code (VS Code) es una herramienta de desarrollo que integra la asistencia de programación basada en IA de Amazon Q directamente en el entorno de desarrollo integrado (IDE) de VS Code.
AWS conoce y ha solucionado un problema en la extensión Amazon Q Developer para VS Code, asignado a CVE-2025-8217.
Durante nuestra investigación de AWS-2025-016, determinamos que la extensión Amazon Q Developer para VS Code tenía un token de GitHub con un alcance inapropiado en su configuración de CodeBuild. Con ese token de acceso, el atacante pudo introducir código malicioso en el repositorio de código abierto de la extensión, que se incluyó automáticamente en una versión. Tras identificar esto, revocamos y reemplazamos inmediatamente las credenciales, eliminamos el código malicioso de la base de código y, posteriormente, lanzamos la versión 1.85.0 de la extensión Amazon Q Developer para VS Code.
AWS Security inspeccionó el código y determinó que se distribuyó con la extensión, pero no se ejecutó correctamente debido a un error de sintaxis. Esto impidió que el código malicioso realizara cambios en los servicios o entornos de los clientes.
Actualizaremos este boletín si tenemos información adicional que compartir.
Versiones afectadas:
Extensión de Amazon Q Developer para Visual Studio Code (versión 1.84.0)
Resolución:
AWS ha tomado todas las medidas de mitigación necesarias para proteger los sistemas de AWS y ha lanzado la versión 1.85.0 de la extensión de Amazon Q Developer para VS Code. Esto incluye la eliminación de la versión 1.84.0 de los canales de distribución para que ningún otro cliente pueda instalarla. Si bien el código malicioso no se puede ejecutar, sigue presente en las instalaciones existentes de la versión 1.84.0. Por lo tanto, todas las instalaciones de la versión 1.84.0 deben retirarse del uso y los clientes deben actualizar a la versión 1.85.0, incluidas las copias bifurcadas o derivadas.
Para actualizar la extensión Amazon Q Developer para VS Code:
- Abra Visual Studio Code
- Vaya al panel Extensiones
- Localice Amazon Q Developer
- Haga clic en el botón Actualizar
Consulte el siguiente hash para la versión 1.84.0:
- sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464
Referencias:
Para cualquier pregunta o inquietud sobre seguridad, envíe un correo electrónico a aws-security@amazon.com.