La falla del desarrollador de Amazon Q permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos.

La falla del desarrollador de Amazon Q permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos.

      TL;DRA una falla en Amazon Q Developer permitió que servidores MCP maliciosos se cargaran automáticamente desde repositorios clonados, permitiendo a los atacantes robar credenciales de AWS en silencio.

      Una falla de alta gravedad en Amazon Q Developer permitió que un repositorio de código malicioso ejecutara silenciosamente comandos en la máquina de un desarrollador y robara sus credenciales de AWS. Wiz Research descubrió la vulnerabilidad, rastreada como CVE-2026-12957, y la reportó a Amazon el 20 de abril. Amazon corrigió el problema el 12 de mayo, y la divulgación se hizo pública hoy.

      El ataque explotó cómo Amazon Q Developer maneja los servidores MCP, un protocolo que permite a los asistentes de codificación de IA conectarse a herramientas externas y fuentes de datos. Un archivo de configuración colocado dentro de un repositorio registraría y comenzaría automáticamente un servidor MCP controlado por el atacante en el momento en que un desarrollador clonara el proyecto, sin ningún aviso o paso de consentimiento. Ese servidor heredó las credenciales completas de AWS del desarrollador, el rol de IAM y cualquier otra variable de entorno disponible para el complemento de IDE.

      Los investigadores de Wiz demostraron el ataque construyendo una prueba de concepto que ejecutó un comando estándar de identidad de AWS a través del servidor MCP malicioso y envió la salida a un servidor externo. El comando devuelve el ID de cuenta de AWS del desarrollador, ARN de usuario y credenciales de sesión, todo lo que un atacante necesita para acceder a recursos en la nube. Dado que el servidor MCP se lanzó automáticamente cuando se abrió el repositorio, el ataque no requirió interacción más allá de clonar el código, un patrón que ya ha permitido compromisos en la cadena de suministro en otras herramientas de codificación de IA.

      Amazon corrigió la vulnerabilidad exigiendo la aprobación explícita del usuario antes de que cualquier servidor MCP pueda iniciarse, y restringiendo las variables de entorno a las que los servidores MCP pueden acceder. Una segunda falla encontrada en la misma auditoría, CVE-2026-12958, reveló que el complemento no verificaba los enlaces simbólicos al escribir archivos de espacio de trabajo, permitiendo a un atacante escribir archivos arbitrarios en cualquier lugar del sistema del desarrollador. Amazon corrigió ambos problemas en versiones actualizadas de Language Servers para AWS y los complementos de IDE correspondientes para VS Code, JetBrains, Eclipse y Visual Studio.

      La divulgación agrega Amazon Q Developer a una lista creciente de herramientas de codificación de IA que se han encontrado vulnerables a ataques de cadena de suministro que explotan la confianza que estas herramientas depositan en el contenido de los repositorios. El Claude Code de Anthropic se encontró vulnerable a un ataque similar de robo de credenciales a través de inyección de comandos en GitHub Actions a principios de este año. Cursor y Windsurf de Codeium también han divulgado vulnerabilidades relacionadas con MCP en los últimos meses.

      El problema subyacente es que MCP, por diseño, otorga a los asistentes de IA la capacidad de llamar a herramientas externas con los permisos que tenga la aplicación anfitriona. Cuando un repositorio puede registrar silenciosamente un servidor MCP que hereda las credenciales en la nube de un desarrollador, la superficie de ataque se expande desde el código mismo a cada servicio al que el desarrollador puede acceder. Amazon dice que no hay evidencia de que la falla haya sido explotada en el mundo real, y la base de datos de asesoramiento de CISA no lista ataques conocidos.

      Los desarrolladores que utilizan Amazon Q Developer deben actualizar sus complementos de IDE a las versiones más recientes disponibles de inmediato y auditar cualquier repositorio que hayan clonado recientemente en busca de archivos de configuración inesperados. La lección más amplia es la misma que se repite en las herramientas de desarrollo de IA: cualquier archivo de configuración que pueda activar la ejecución de código en el momento de clonar es un arma, y las herramientas que lo ejecutan automáticamente son las que tienen el seguro quitado.

      

       Publicado el 26 de junio de 2026 - 4:49 pm UTC

      

       Volver arriba

Otros artículos

La falla del desarrollador de Amazon Q permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos. La falla del desarrollador de Amazon Q permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos. Una vulnerabilidad de alta gravedad en Amazon Q Developer permitió que un repositorio clonado ejecutara en silencio un servidor MCP que robaba credenciales de AWS. Wiz lo descubrió, Amazon lo corrigió. El fundador de Xprize, Peter Diamandis, dice que los humanos se comportan mejor cuando están siendo observados. El fundador de Xprize, Peter Diamandis, dice que los humanos se comportan mejor cuando están siendo observados. Diamandis se une a Larry Ellison al argumentar que la vigilancia global genera confianza. Las ciudades que cubren las cámaras con bolsas de basura sugieren que la gente no está de acuerdo. El fundador de Xprize, Peter Diamandis, dice que los humanos se comportan mejor cuando están siendo observados. El fundador de Xprize, Peter Diamandis, dice que los humanos se comportan mejor cuando están siendo observados. Diamandis se une a Larry Ellison al argumentar que la vigilancia global genera confianza. Las ciudades que cubren las cámaras con bolsas de basura sugieren que la gente no está de acuerdo. TikTok está construyendo en silencio una superaplicación con compras, reservas de hoteles, fintech y deportes. TikTok está construyendo en silencio una superaplicación con compras, reservas de hoteles, fintech y deportes. TikTok Shop alcanzó casi $16 mil millones en ventas en EE. UU. Ahora la aplicación añade reservas de hoteles, licencias fintech, un centro de la Copa del Mundo y juegos mientras persigue el modelo de superaplicación. La falla del desarrollador de Amazon Q permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos. La falla del desarrollador de Amazon Q permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos. Una vulnerabilidad de alta severidad en Amazon Q Developer permitió que un repositorio clonado ejecutara en silencio un servidor MCP que robaba credenciales de AWS. Wiz lo descubrió, Amazon lo parcheó. El fundador de Xprize, Peter Diamandis, dice que los humanos se comportan mejor cuando están siendo observados. El fundador de Xprize, Peter Diamandis, dice que los humanos se comportan mejor cuando están siendo observados. Diamandis se une a Larry Ellison al argumentar que la vigilancia global genera confianza. Las ciudades que cubren las cámaras con bolsas de basura sugieren que la gente no está de acuerdo.

La falla del desarrollador de Amazon Q permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos.

Una vulnerabilidad de alta gravedad en Amazon Q Developer permitió que un repositorio clonado ejecutara silenciosamente un servidor MCP que robaba credenciales de AWS. Wiz lo descubrió, Amazon lo parcheó.