Un hacker ha compromesso Amazon Q, l’assistente AI destinato agli sviluppatori e integrato in Visual Studio Code. Questa persona è riuscita a inserire comandi potenzialmente distruttivi nella versione 1.84.0 dell’estensione. Il codice, poi distribuito pubblicamente da Amazon, includeva istruzioni per eliminare file dai computer degli utenti e risorse cloud tramite AWS CLI.
Secondo quanto dichiarato a 404 media da una persona che sostiene essere l’hacker, questo cyberattacco è stato condotto con l’obiettivo di “smascherare il teatro della sicurezza” di Amazon. Racconta di aver inviato una semplice richiesta di pull da un account casuale e di aver ottenuto privilegi da amministratore senza ostacoli. Successivamente, sarebbe stato possibile integrare il codice malevolo nella build ufficiale rilasciata il 17 luglio, passando inosservato fino alla scoperta.
Amazon ha rimosso la versione incriminata e ha dichiarato di aver risolto la vulnerabilità in due repository open source. L’azienda ha inoltre assicurato che nessuna risorsa dei clienti è stata compromessa e ha rilasciato una nuova versione dell’estensione, la 1.85.0. Nessuna comunicazione pubblica è stata pubblicata da Amazon sulla pagina GitHub dell’estensione.
Leggi l’articolo completo: Hacker Plants Computer ‘Wiping’ Commands in Amazon’s AI Coding Agent su 404media.co.
Immagine generata tramite DALL-E 3. Tutti i diritti sono riservati. Università di Torino (26/04/2025).
