- Para ahli mengklaim ekstensi pengembang amazon q untuk vsc v1.84.0 memiliki beberapa kode yang cerdik
- Ini sekarang telah dihapus, dengan versi 1.85.0 yang menawarkan perbaikan bersih
- Sekitar 5,6% ekstensi VSC telah dikompromikan
Seorang peretas telah menanam kode pembersihan data ke dalam ekstensi pengembang Amazon Q untuk Visual Studio Code (VSC)-ekstensi Genai gratis dengan hampir satu juta pemasangan dari Microsoft VSC Marketplace yang dirancang untuk membantu pengembang kode, debug, mendokumentasikan, dan mengkonfigurasi proyek.
Pada 13 Juli 2025, komit jahat dari ‘lkmanka58’ di GitHub termasuk prompt untuk menghapus sumber daya sistem dan cloud, dengan Amazon tanpa sadar menerbitkan versi yang dikompromikan (1.84.0) pada 17 Juli.
Dengan aktivitas mencurigakan yang dicatat pada 23 Juli dan pengembang Amazon dengan cepat beraksi, versi yang bersih dirilis pada 24 Juli tanpa kode jahat, sehingga pengguna disarankan untuk memperbarui ke 1.85.0 sebagai masalah urgensi.
Amazon melewatkan beberapa kode berbahaya di ekstensi pengembang Q -nya
Terlepas dari ancaman yang jelas, Amazon mencatat bahwa kode itu salah dan tidak akan mengeksekusi di lingkungan pengguna, tetapi beberapa peneliti telah membantah ini, mengatakan bahwa kode telah dieksekusi, tetapi tidak menyebabkan kerusakan.
Apapun, versi 1.84.0 telah dihapus sama sekali dari saluran distribusi.
Namun, pengguna telah menyatakan kekhawatiran bahwa potongan kode yang berpotensi berbahaya seperti itu bisa dilewatkan oleh Amazon, membawa ke komunitas online seperti Reddit untuk mengkritik Amazon karena secara diam -diam mengedit sejarah git dan lambat untuk mengungkapkan kesalahan.
Namun, insiden Amazon tidak unik, dengan survei akademik 2024 dari hampir 53.000 vs ekstensi kode yang mengungkapkan sekitar 5,6% memiliki elemen mencurigakan seperti panggilan jaringan sewenang -wenang, penyalahgunaan hak istimewa atau kode yang dikaburkan.
Pada akhirnya, pengembang disarankan untuk tidak mempercayai ekstensi IDE tanpa syarat dan asisten AI, namun banyak yang dibiarkan kecewa karena Amazon membiarkan yang satu ini masuk ke internet.
Melalui Komputer bleeping
