- Especialistas afirmam
- Agora isso foi removido, com a versão 1.85.0 oferecendo uma correção limpa
- Cerca de 5,6% das extensões do VSC foram comprometidas
Um hacker plantou o código de lavagem de dados na extensão do desenvolvedor da Amazon Q para o Código do Visual Studio (VSC)-uma extensão Genai gratuita com quase um milhão de instalações do Microsoft VSC Marketplace projetado para ajudar os desenvolvedores a código, depurar, documentar e configurar projetos.
Em 13 de julho de 2025, o comprometimento malicioso de ‘LkManka58’ no Github incluiu um aviso para excluir o sistema e os recursos da nuvem, com a Amazon publicando sem saber a versão comprometida (1.84.0) em 17 de julho.
Com atividades suspeitas observadas em 23 de julho e os desenvolvedores da Amazon surgiram rapidamente em ação, uma versão limpa foi lançada em 24 de julho sem o código malicioso, para que os usuários sejam aconselhados a atualizar para 1.85.0 por uma questão de urgência.
Amazon perdeu algum código malicioso em sua extensão de desenvolvedor Q
Apesar da aparente ameaça, a Amazon observou que o código estava malformado e não executou em ambientes de usuários, mas alguns pesquisadores contestaram isso, dizendo que o código havia executado, mas não causou nenhum dano.
Independentemente disso, a versão 1.84.0 foi removida completamente dos canais de distribuição.
Ainda assim, os usuários expressaram preocupações de que um trecho de código potencialmente perigoso poderia ter sido perdido pela Amazon, levando para comunidades on -line como o Reddit para criticar a Amazon por editar silenciosamente a história do GIT e demorar a divulgar o erro.
O incidente da Amazon não é único, porém, com um acadêmico 2024 enquete de quase 53.000 vs extensões de código, revelando cerca de 5,6%, têm elementos suspeitos, como chamadas de rede arbitrárias, abuso de privilégio ou código ofuscado.
Por fim, os desenvolvedores estão sendo aconselhados a não confiarem incondicionalmente extensões de IDE e assistentes de IA, no entanto, muitos ficaram desapontados com o fato de a Amazon deixar que este deslize pela rede.
Via BleepingComputer
Fique conectado