Incidents associés
Portée : AWS Type de contenu : Important (requiert votre attention) Date de publication : 23/07/2025, 18h00 PDT Date de mise à jour : 25/07/2025, 18h00 PDT
Description :
L'extension Amazon Q Developer pour Visual Studio Code (VS Code) est un outil de développement qui intègre l'assistance au codage basée sur l'IA d'Amazon Q directement à l'environnement de développement intégré (IDE) de VS Code.
AWS a identifié et corrigé un problème dans l'extension Amazon Q Developer pour VS Code, attribué à la référence CVE-2025-8217.
Au cours de notre enquête sur AWS-2025-016, nous avons déterminé que l'extension Amazon Q Developer pour VS Code disposait d'un jeton GitHub dont la portée était inappropriée dans sa configuration CodeBuild. Grâce à ce jeton d'accès, l'auteur de la menace a pu introduire du code malveillant dans le référentiel open source de l'extension, lequel était automatiquement inclus dans une version. Après avoir identifié ce problème, nous avons immédiatement révoqué et remplacé les informations d'identification, supprimé le code malveillant de la base de code, puis publié la version 1.85.0 de l'extension Amazon Q Developer pour VS Code.
L'équipe de sécurité AWS a inspecté le code et a déterminé que le code malveillant était distribué avec l'extension, mais qu'il n'a pas pu s'exécuter en raison d'une erreur de syntaxe. Cela a empêché le code malveillant d'apporter des modifications aux services ou aux environnements clients.
Nous mettrons à jour ce bulletin si nous avons des informations supplémentaires à partager.
Versions concernées :
Extension Amazon Q Developer pour Visual Studio Code (version 1.84.0)
Solution :
AWS a pris toutes les mesures de protection nécessaires pour sécuriser ses systèmes et a publié la version 1.85.0 de l'extension Amazon Q Developer pour Visual Studio Code. Cette mesure inclut la suppression de la version 1.84.0 des canaux de distribution afin qu'aucun autre client ne puisse l'installer. Bien que le code malveillant ne puisse pas s'exécuter, il est toujours présent dans les installations existantes de la version 1.84.0. Par conséquent, toutes les installations de la version 1.84.0 doivent être supprimées et les clients doivent effectuer la mise à jour vers la version 1.85.0, y compris les copies dérivées.
Pour mettre à jour votre extension Amazon Q Developer pour VS Code :
- Ouvrez Visual Studio Code
- Accédez au panneau Extensions
- Localisez Amazon Q Developer
- Cliquez sur le bouton Mettre à jour
Veuillez consulter le hachage suivant pour la version 1.84.0 :
- sha256:47f7840ecab6312d2733e1274c513050405886c70f2037fb2f1e9099872b0464
Références :
Pour toute question ou préoccupation concernant la sécurité, veuillez contacter aws-security@amazon.com.