Уязвимость Amazon Q Developer Раскрывала AWS-Учётные Данные при Открытии Репозитория

Каждый тимлид бэкенда, когда-либо говоривший джуниору «просто склонируй репозиторий и посмотри», должен обратить внимание на этот случай. Уязвимость в расширении Amazon Q Developer позволяла файлу конфигурации рабочей области выполнять произвольные команды в момент, когда разработчик открывал враждебный репозиторий. Без запроса, без предупреждения, без подтверждения. Просто выполнение кода внутри того же шелла, в котором хранятся ваши AWS-учётные данные.

Что произошло

Исследователи Wiz раскрыли CVE-2026-12957 — уязвимость в расширении Amazon Q Developer для Visual Studio Code, которая автоматически выполняла команды, найденные в файлах конфигурации рабочей области. Как сообщило SC Media, для запуска цепочки было достаточно открыть скомпрометированный репозиторий. Расширение парсило конфиг, выполняло всё, что злоумышленник туда поместил, — и разработчик так и не видел диалога подтверждения.

Радиус поражения — локальная рабочая станция, что на практике означает активные облачные учётные данные, API-ключи и всё остальное, что работающий инженер хранит в своём окружении. Wiz выделил три реальных вектора атаки: поддельные тестовые задания для собеседований, тайпсквоттинговые пакеты с открытым исходным кодом, подключаемые как зависимости, и вредоносные pull request'ы в легитимные проекты. Каждый из них эксплуатирует одно и то же допущение о доверии: разработчик клонирует, открывает, изучает.

AWS была уведомлена 20 апреля, а патч вышел 12 мая. Примерно три недели на реакцию вендора по уязвимости класса «утечка учётных данных» — это разумно, но не рекордно. AWS отметила, что языковой сервер обновляется автоматически у большинства пользователей, поэтому сегодня под угрозой остаются главным образом команды, использующие зафиксированные или изолированные от интернета IDE. Тот же класс уязвимости затронул расширение в Visual Studio Code, JetBrains, Eclipse и Visual Studio — это была не особенность одной IDE, а общее поведение бэкенда с широким охватом.

В раскрытии также отмечалось, что аналогичные уязвимости были обнаружены в других инструментах AI-кодинга — и это должно заставить платформенных лидов почувствовать дискомфорт.

Техническая анатомия

Механизм удручающе прост. Современные расширения IDE при загрузке проекта читают файлы конфигурации рабочей области: определения задач, цели запуска, подсказки языковому серверу и метаданные проекта. Эти файлы версионируются, а значит, кто владеет репозиторием — владеет конфигом. Когда расширение обрабатывает эти значения как исполняемые инструкции, а не как декларативные данные, вы получаете примитив удалённого выполнения кода, замаскированный под функцию повышения производительности.

В CVE-2026-12957 расширение Amazon Q Developer потребляло содержимое конфигурации рабочей области и выполняло встроенные команды без запроса пользователя. Граница доверия была проведена не там. Расширение неявно доверяло любому файлу внутри любой папки, которую пользователь открывал, — та же модель угрозы, что и двойной клик на вложении из письма 2003 года. Проверить запись CVE можно в каталоге MITRE по мере распространения исправлений.

С точки зрения атакующего схема пишет сама себя. Создаёте репозиторий, похожий на легитимное тестовое задание для старшего Go-разработчика. Встраиваете полезную нагрузку в конфиг рабочей области. Ждёте, пока кандидат склонирует и откроет. Payload запускается, собирает `~/.aws/credentials`, переменные окружения и любые кэшированные токены сессий, и отправляет их на контролируемый атакующим эндпоинт. Разработчик видит обычный проект. К тому моменту, как кто-то замечает утечку трафика, учётные данные уже запускают EC2-инстансы или опустошают S3.

Вектор с тайпсквоттинговым пакетом хуже, потому что он масштабируется. Одна вредоносная зависимость, попавшая в популярный шаблонный репозиторий, обеспечивает атакующему стабильный поток жертв, которые никогда не просматривали этот файл. Вектор вредоносного pull request'а напрямую нацелен на мейнтейнеров — то есть на аккаунты с наивысшими привилегиями в организации. В production-инцидентах, связанных с компрометацией рабочих станций разработчиков, которые мне доводилось наблюдать, первопричиной почти всегда является инструмент, тихо выполняющий входные данные, которые разработчик считал неактивными.

Моя оценка: это поколение AI-ассистентов для кодинга воспроизводит тот же класс ошибок, который поразил плагины редакторов десятилетие назад, и паттерн исправления не изменился. Относитесь к конфигурации, поставляемой репозиторием, как к недоверенным входным данным, блокируйте выполнение явным подтверждением пользователя и изолируйте языковой сервер от областей с учётными данными.

Кто пострадает

Три группы под угрозой — в порядке убывания серьёзности последствий.

Первая — любая команда, использующая зафиксированные версии IDE или расширений из соображений соответствия требованиям или воспроизводимости. AWS говорит, что языковой сервер обновляется автоматически у большинства пользователей, но слово «большинства» здесь несёт большую нагрузку. Регулируемые iGaming-операторы на Мальте и в Гибралтаре нередко замораживают инструментарий разработчиков, чтобы удовлетворить аудиторов по управлению изменениями. Финтехи в зоне действия DORA поступают так же. Этим командам необходимо убедиться, что их зафиксированные версии включают патч от 12 мая, или срочно обновиться.

Вторая — любая организация, использующая долгоживущие AWS-ключи доступа на ноутбуках разработчиков. Если рабочая станция была скомпрометирована в период между появлением уязвимости и выходом патча, хранившиеся на ней учётные данные следует считать скомпрометированными. Ротация обязательна. Команды, с которыми мне приходилось работать и которые пропустили ротацию после подобных инцидентов, спустя месяцы обнаруживали, что забытый IAM-пользователь тихо майнил криптовалюту в us-east-2.

Третья — инженерные организации, проводящие внешние тестовые задания для разработчиков. Вектор поддельного тестового задания напрямую нацелен на ваш процесс найма. Каждый кандидат, открывавший тестовое задание в затронутый период, — потенциальная точка утечки, как и каждый интервьюер, открывавший задание кандидата. Это бьёт в обе стороны.

Неприятный вывод: этот класс уязвимостей будет повторяться. AI-ассистенты для кодинга наперегонки добавляют агентские функции, которые по определению означают выполнение действий от имени пользователя. Каждая новая возможность — это ещё одна точка принятия решения, где вендор должен выбирать между удобством и безопасностью. Рынок сейчас вознаграждает снижение трений. Ожидайте новых CVE такого же рода в Copilot, Cursor, Cody и том, что выйдет в следующем квартале. В раскрытии прямо указано, что аналогичные уязвимости уже были обнаружены в других AI-инструментах для кодинга.

Руководство для команд по безопасности

Конкретные действия на эту неделю — в порядке приоритета.

Убедитесь, что расширение Amazon Q Developer обновлено во всех IDE вашего парка: Visual Studio Code, JetBrains, Eclipse и Visual Studio. Не доверяйте заявлению об автообновлении, пока не проверите установленные версии на соответствие релизу после 12 мая. На ноутбуках под управлением MDM это делается одним запросом. На BYOD-устройствах необходимо направить чёткое уведомление.

Выполните ротацию всех AWS-ключей доступа, токенов сессий и сторонних API-ключей, которые находились на рабочих станциях разработчиков в период с 20 апреля по 12 мая — или раньше, если хотите перестраховаться от эксплуатации до раскрытия. Если вы до сих пор выдаёте долгоживущие ключи IAM-пользователей инженерам в 2026 году, этот инцидент должен подтолкнуть вас к переходу на краткосрочные учётные данные через IAM Identity Center или его эквивалент.

Проверьте процесс найма. Любой рабочий процесс с тестовым заданием, предполагающий открытие внешнего репозитория в основной среде разработки, необходимо перенести в одноразовую виртуальную машину, devcontainer или облачную песочницу. Это дёшевая страховка, которая навсегда закрывает вектор поддельного задания.

Добавьте инвентаризацию расширений IDE в вашу систему управления активами. Большинство команд по безопасности отслеживают патчи ОС и версии браузеров, но не имеют никакого представления о том, какие расширения используют разработчики. Этот пробел теперь является известным путём утечки учётных данных. Сверяйте результаты с каталогом CISA KEV по мере появления отчётов об эксплуатации.

Наконец, напишите одностраничную внутреннюю политику: ни один AI-ассистент для кодинга не устанавливается на рабочую станцию, содержащую production-учётные данные, — точка. Разработчики могут использовать ассистентов в изолированных средах. Цена удобства реальна. Альтернатива хуже.

Ключевые выводы

• CVE-2026-12957 позволял расширению Amazon Q Developer автоматически выполнять команды из файлов конфигурации рабочей области, раскрывая AWS-учётные данные при открытии репозитория.
• AWS выпустила патч 12 мая после раскрытия Wiz 20 апреля, но команды с зафиксированными версиями остаются уязвимыми до проверки обновления.
• Уязвимость затронула Visual Studio Code, JetBrains, Eclipse и Visual Studio — это проблема общего бэкенда, а не одного редактора.
• Поддельные тестовые задания, тайпсквоттинговые пакеты и вредоносные pull request'ы — три живых вектора атаки, выявленных Wiz.
• Выполните ротацию облачных учётных данных разработчиков, изолируйте внешние репозитории в песочницах и инвентаризируйте расширения IDE до выхода следующего CVE для AI-ассистента.