Amazon sotto attacco: codice pericoloso nel software di sviluppo

Amazon si è trovata al centro di una situazione critica dopo che è stato scoperto un codice pericoloso all'interno del suo plugin di sviluppo Amazon Q Developer per Microsoft Visual Studio Code . Questo strumento, inizialmente progettato per supportare i programmatori nella scrittura e nel debugging del codice, è finito sotto i riflettori quando si è scoperto che un frammento di codice sospetto era stato aggiunto di nascosto. La scoperta del problema avvenne soltanto dieci giorni dopo la distribuzione dell'aggiornamento, un ritardo significativo che ha sollevato dubbi sulla sicurezza e le procedure interne di Amazon.

Il 13 luglio 2025, un utente identificato come lkmanka58 su GitHub inserì un codice che richiedeva la cancellazione di risorse di sistema e cloud nel codice del plugin. Senza accorgersene, il 17 luglio Amazon pubblicò un aggiornamento, la versione 1.84.0, che conteneva questo codice. Solo il 23 luglio, la divisione di sviluppo rapida dell'azienda individuò l'attività insolita, rimuovendo prontamente il codice incriminato e lanciando una nuova versione, la 1.85.0, priva di tale vulnerabilità. Gli utenti furono immediatamente informati della necessità di aggiornare il loro plugin.

Sebbene Amazon abbia assicurato che il codice in questione non era eseguibile nell'ambiente utente, diffondendo così tranquillità tra i suoi clienti, alcune fonti e esperti hanno suggerito che il codice potesse essere attivo; tuttavia, sembra non abbia causato alcun danno reale. Nonostante gli sforzi di Amazon nell'affrontare la situazione, la versione 1.84.0 venne completamente rimossa dai canali di distribuzione software, lasciando tuttavia la comunità di sviluppo insoddisfatta. Molti sviluppatori espressero preoccupazione per l'accaduto, sottolineando la gravità di un codice potenzialmente dannoso passato inosservato negli aggiornamenti. Inoltre, la modifica nascosta della cronologia di git effettuata dall'azienda e il ritardo nella comunicazione pubblica dell'incidente hanno alimentato ulteriori perplessità e critiche.

Questo tipo di evento non è nuovo nel mondo dello sviluppo software. Nel 2024, uno studio accademico riguardante Microsoft Visual Studio Code ha esaminato un totale di 53.000 plugin, rivelando che circa il 5,6% di essi conteneva frammenti sospetti come accessi di rete arbitrari, abuso di privilegi e codice cifrato. I programmatori sono stati consigliati di non fidarsi ciecamente degli estensioni, nemmeno quando queste appartengono ad autori rinomati come Amazon. L'incidente ha messo in luce l'importanza di un monitoraggio attento e continuo degli strumenti di sviluppo, riflettendo la necessità di una maggiore trasparenza e di miglioramenti nei sistemi di sicurezza. L'affidabilità della sicurezza dei software, quindi, va oltre la semplice fiducia nel buon nome del produttore, richiedendo verifiche indipendenti e una maggiore attenzione da parte di tutti i membri della comunità tecnologica.