【安全圈】AmazonQ漏洞使恶意代码仓库可窃取云凭据

admin 2026-06-30 06:19:54 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: AmazonQDeveloper的VSCode扩展存在高危漏洞CVE-2026-12957,攻击者可通过恶意代码仓库自动执行配置文件窃取开发者云凭据。漏洞涉及虚假编程测试、拼写错误包等攻击路径,AWS已于5月12日发布补丁,建议用户更新插件或重新加载IDE以修复。 综合评分: 85 文章分类: 漏洞分析,云安全,安全工具,应用安全,威胁情报


cover_image

【安全圈】Amazon Q 漏洞使恶意代码仓库可窃取云凭据

安全圈

2026年6月29日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

漏洞

Wiz 的研究人员披露了 Amazon Q Developer 的 Visual Studio Code 扩展中的一个高严重性漏洞,该漏洞可能允许攻击者通过诱骗开发者打开恶意代码仓库来窃取其云凭据。

Amazon Q Developer 是一款 AI 驱动的编码助手,为开发者提供代码建议、自动重构以及通过与本地进程集成访问外部工具和服务等功能。

AWS 于 4 月 20 日收到该问题的通知,并于 5 月 12 日发布了补丁。这家云巨头本周发布了一则安全公告。

该漏洞的根本原因在于扩展程序会自动执行工作区中嵌入的配置文件,而无需事先征得用户许可。

这意味着,开发者在打开恶意仓库的那一刻,恶意仓库就可以在后台静默运行攻击者控制的命令,从而获取其环境中加载的任何云凭据和 API 密钥。

Wiz 表示,攻击路径包括虚假的编程测试(如朝鲜黑客使用的测试)、拼写错误的开源包,或向热门项目提交的恶意 pull request。

已通过 AWS 或其他云服务进行身份验证的开发者尤其容易受到攻击,因为活跃的会话凭据可以在没有任何可见警告的情况下被捕获和窃取。

Wiz 指出:“自动执行、生成 shell 和环境继承的组合,在一个广泛使用的开发者工具中造成了一个高严重性漏洞。单个恶意仓库不仅可能危及开发者的本地机器,还可能危及其云基础设施。”

AWS 已修补该漏洞(追踪为 CVE-2026-12957)以及一个涉及符号链接处理的相关问题(CVE-2026-12958)。

修复程序已适用于所有受影响的 Amazon Q Developer 插件,涵盖 VS Code、JetBrains、Eclipse 和 Visual Studio,以及语言服务器。

AWS 发言人告诉 SecurityWeek:“我们感谢 Wiz 在此问题上的合作。我们已在语言服务器 1.65.0 版本中修复了此问题。AWS Language Server 会自动更新,除非客户的网络配置阻止更新,因此在大多数情况下无需任何操作。对于现有客户,重新加载 IDE 将触发更新到最新的语言服务器版本,其中包含此修复程序。如果自动更新被阻止,我们建议升级到适用于您 IDE 的最新版本 Amazon Q Developer 插件。新客户无需任何操作,因为最新的修补版本将自动下载。”

Wiz 指出,此根本问题并非 Amazon Q 独有;其他研究人员已在 VS Code 和其他 AI 编码工具(包括 Claude 和 Cursor)中发现了类似问题。

这家谷歌旗下的云安全巨头于周五发布了技术细节和 PoC 代码。

END

阅读推荐

【安全圈】三星 Galaxy 手机被曝高危安全漏洞

【安全圈】波兰捣毁与数百万美元加密货币盗窃案相关的 SIM 卡交换团伙

【安全圈】新型 Gaslight macOS 恶意软件利用提示注入扰乱 AI 辅助分析

【安全圈】苹果印度代工厂遭黑客入侵 海量新机机密文件流入暗网

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握!

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧!


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:安全圈 《【安全圈】Amazon Q 漏洞使恶意代码仓库可窃取云凭据》

评论:0   参与:  0