CVE-2025-8217：Amazon Q 的自我破坏：无法编写代码的后门

Source: Dev.to

TL;DR

Amazon Q Developer 扩展 v1.84.0 的构建过程被劫持，下载并注入了恶意代码。攻击者的载荷包含语法错误，使后门失效。这是一场 textbook 级别的供应链攻击，却以滑稽的结局收场。

Technical Details

• 漏洞编号: CVE-2025-8217
• CWE 编号: CWE‑506
• CVSS 分数: 5.1（中等）– CVSS v4.0
• 攻击向量: 本地（供应链）
• 影响: 失效（执行失败）
• 利用状态: 失败尝试
• KEV 状态: 未列出
• 发布时间: 2025‑07‑30

Affected Systems

• Visual Studio Code
• Amazon Q Developer 扩展

Amazon Q Developer VS Code 扩展: 1.84.0（已在 1.85.0 中修复）

Code Analysis

提交: unknown

恶意更改是在打包过程中引入的，而不是作为可见的 Git 提交。

- async function preparePackager() { ... downloadFiles(...) ... }
+ // Function removed in 1.85.0

Exploit Details

该利用被嵌入到分发的 1.84.0 VSIX 文件中，但由于语法错误未能执行。

Mitigation Strategies

• 在构建流水线中实施严格的完整性检查，以防止动态代码获取。
• 将构建脚本（例如 package.ts、Makefile）审计得和源代码一样严格。
• 限制构建阶段的网络访问，以阻止未经授权的下载。

Remediation Steps

1. 将 Amazon Q Developer VS Code 扩展升级至 1.85.0 或更高版本。
2. 手动卸载 1.84.0 版本，以清除任何残留文件。
3. 在 VS Code 的扩展视图中验证已安装的扩展版本。

References

• AWS Security Bulletin AWS‑2025‑015
• GHSA‑7g7f‑ff96‑5gcw