CVE-2025-8217: Amazon Q의 자기 파괴: 코드를 작성할 수 없는 백도어

Source: Dev.to

TL;DR

Amazon Q Developer 확장 v1.84.0의 빌드 과정이 탈취되어 악성 코드를 다운로드하고 삽입했습니다. 공격자의 페이로드에 구문 오류가 포함돼 있어 백도어가 작동하지 않았습니다. 전형적인 공급망 공격이지만 결말은 우스꽝스럽습니다.

Technical Details

• Vulnerability ID: CVE-2025-8217
• CWE ID: CWE‑506
• CVSS Score: 5.1 (Medium) – CVSS v4.0
• Attack Vector: Local (Supply Chain)
• Impact: Inert (Failed Execution)
• Exploit Status: Failed Attempt
• KEV Status: Not Listed
• Published: 2025‑07‑30

Affected Systems

• Visual Studio Code
• Amazon Q Developer Extension

Amazon Q Developer VS Code Extension: 1.84.0 (fixed in 1.85.0)

Code Analysis

Commit: unknown

악성 변경은 눈에 보이는 Git 커밋이 아니라 패키징 과정 중에 도입되었습니다.

- async function preparePackager() { ... downloadFiles(...) ... }
+ // Function removed in 1.85.0

Exploit Details

배포된 1.84.0 VSIX 파일에 악용 코드가 포함돼 있었지만 구문 오류 때문에 실행되지 않았습니다.

Mitigation Strategies

• 빌드 파이프라인에 엄격한 무결성 검사를 도입해 동적 코드 가져오기를 차단합니다.
• 빌드 스크립트(package.ts, Makefile 등)를 소스 코드만큼 철저히 감사합니다.
• 빌드 단계에서 네트워크 접근을 제한해 무단 다운로드를 차단합니다.

Remediation Steps

1. Amazon Q Developer VS Code 확장을 버전 1.85.0 이상으로 업그레이드합니다.
2. 잔여 파일이 남지 않도록 버전 1.84.0을 수동으로 제거합니다.
3. VS Code의 확장 보기에서 설치된 확장 버전을 확인합니다.

References

• AWS Security Bulletin AWS‑2025‑015
• GHSA‑7g7f‑ff96‑5gcw