دستیار هوش مصنوعی کدنویسی آمازون هدف حمله قرار گرفت؛ حذف دیتا با دستورات تزریقی!

این هکر به‌دلیل پیکربندی نادرست workflow یا مدیریت ناکافی مجوزها توسط مدیران پروژه، به مخزن آمازون دسترسی پیدا کرد. آمازون از این نفوذ بی‌اطلاع بود و نسخه آلوده (1.84.0) را در ۱۷ ژوئیه در بازار VCS منتشر کرد و در دسترس همه کاربران قرار داد.

پاسخ آمازون

در ۲۳ ژوئیه، پس از گزارش محققان امنیتی درباره مشکل در  دستیار هوش مصنوعی کدنویسی ، آمازون تحقیقات را آغاز کرد. در ۲۴ ژوئیه، AWS نسخه پاک‌شده (Q 1.85.0) را منتشر کرد که کد تأییدنشده را حذف کرده بود.

آمازون اعلام کرد که تیم امنیتی AWS از طریق تحلیل عمیق‌تر، یک کامیت کد مخرب را در افزونه متن‌باز VCS شناسایی کرد که اجرای دستورات Q Developer CLI را هدف قرار داده بود. پس از آن، اطلاعات کاربری فورا باطل و جایگزین شدند، کد مخرب از پایگاه کد حذف شد و نسخه 1.85.0 در بازار منتشر شد.

در 26 ژوئیه، سخنگوی آمازون اعلام کرد که امنیت اولویت اصلی است و تلاش برای سوءاستفاده از یک مشکل شناخته‌شده در دو مخزن متن‌باز برای تغییر کد افزونه Amazon Q Developer به‌سرعت رفع شد. هیچ منبعی از مشتریان تحت تأثیر قرار نگرفت و این مشکل در هر دو مخزن کاملا برطرف شده است. مشتریان می‌توانند نسخه 1.85.0 را به‌عنوان اقدام احتیاطی اجرا کنند. با این حال، برخی گزارش‌ها حاکی از اجرای کد مخرب بدون ایجاد آسیب بود و تأکید کردند که این حادثه همچنان باید به‌عنوان یک رویداد امنیتی جدی تلقی شود.

توصیه‌ امنیتی

کاربرانی که از نسخه 1.84.0 افزونه Amazon Q استفاده می‌کنند، که از همه کانال‌های توزیع حذف شده، باید فورا به نسخه 1.85.0 ارتقاء دهند.

منابع: