La vulnerabilidad de Amazon Q Developer permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos.

La vulnerabilidad de Amazon Q Developer permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos.

      TL;DRA una falla en Amazon Q Developer permitió que servidores MCP maliciosos se cargaran automáticamente desde repositorios clonados, permitiendo a los atacantes robar credenciales de AWS en silencio.

      Una falla de alta severidad en Amazon Q Developer permitió que un repositorio de código malicioso ejecutara comandos en la máquina de un desarrollador y robara sus credenciales de AWS en silencio. Wiz Research descubrió la vulnerabilidad, rastreada como CVE-2026-12957, y la reportó a Amazon el 20 de abril. Amazon corrigió el problema el 12 de mayo, y la divulgación se hizo pública hoy.

      El ataque explotó cómo Amazon Q Developer maneja los servidores MCP, un protocolo que permite a los asistentes de codificación de IA conectarse a herramientas externas y fuentes de datos. Un archivo de configuración colocado dentro de un repositorio registraría y comenzaría automáticamente un servidor MCP controlado por el atacante en el momento en que un desarrollador clonara el proyecto, sin ningún aviso o paso de consentimiento. Ese servidor heredó las credenciales completas de AWS del desarrollador, el rol de IAM y cualquier otra variable de entorno disponible para el complemento del IDE.

      Los investigadores de Wiz demostraron el ataque construyendo una prueba de concepto que ejecutó un comando de identidad estándar de AWS a través del servidor MCP malicioso y envió la salida a un servidor externo. El comando devuelve el ID de cuenta de AWS del desarrollador, el ARN de usuario y las credenciales de sesión, todo lo que un atacante necesita para acceder a los recursos en la nube. Debido a que el servidor MCP se lanzó automáticamente cuando se abrió el repositorio, el ataque no requirió ninguna interacción más allá de clonar el código, un patrón que ya ha permitido compromisos en la cadena de suministro en otras herramientas de codificación de IA.

      Amazon solucionó la vulnerabilidad exigiendo la aprobación explícita del usuario antes de que cualquier servidor MCP pueda iniciarse, y restringiendo las variables de entorno a las que pueden acceder los servidores MCP. Una segunda falla encontrada en la misma auditoría, CVE-2026-12958, reveló que el complemento no verificaba los enlaces simbólicos al escribir archivos de espacio de trabajo, lo que permitía a un atacante escribir archivos arbitrarios en cualquier lugar del sistema del desarrollador. Amazon corrigió ambos problemas en versiones actualizadas de Language Servers para AWS y los complementos de IDE correspondientes para VS Code, JetBrains, Eclipse y Visual Studio.

      La divulgación agrega Amazon Q Developer a una lista creciente de herramientas de codificación de IA que se encontraron vulnerables a ataques en la cadena de suministro que explotan la confianza que estas herramientas depositan en el contenido de los repositorios. El Claude Code de Anthropic se encontró vulnerable a un ataque similar de robo de credenciales a través de inyección de comandos en GitHub Actions a principios de este año. Cursor y Windsurf de Codeium también han divulgado vulnerabilidades relacionadas con MCP en los últimos meses.

      El problema subyacente es que MCP, por diseño, le da a los asistentes de IA la capacidad de llamar a herramientas externas con los permisos que tenga la aplicación anfitriona. Cuando un repositorio puede registrar silenciosamente un servidor MCP que hereda las credenciales en la nube de un desarrollador, la superficie de ataque se expande desde el código mismo a cada servicio al que el desarrollador puede acceder. Amazon dice que no hay evidencia de que la falla haya sido explotada en el mundo real, y la base de datos de asesoría de CISA no lista ataques conocidos.

      Los desarrolladores que usan Amazon Q Developer deben actualizar sus complementos de IDE a las versiones más recientes disponibles de inmediato y auditar cualquier repositorio que hayan clonando recientemente en busca de archivos de configuración inesperados. La lección más amplia es la misma que se repite en las herramientas de desarrollo de IA: cualquier archivo de configuración que pueda desencadenar la ejecución de código en el momento de clonar es un arma, y las herramientas que lo ejecutan automáticamente son las que tienen la seguridad desactivada.

      

      

       Publicado el 26 de junio de 2026 - 4:49 pm UTC

      

       Volver arriba

Otros artículos

La falla del desarrollador de Amazon Q permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos. La falla del desarrollador de Amazon Q permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos. Una vulnerabilidad de alta severidad en Amazon Q Developer permitió que un repositorio clonado ejecutara en silencio un servidor MCP que robaba credenciales de AWS. Wiz lo descubrió, Amazon lo parcheó. El fundador de Xprize, Peter Diamandis, dice que los humanos se comportan mejor cuando están siendo observados. El fundador de Xprize, Peter Diamandis, dice que los humanos se comportan mejor cuando están siendo observados. Diamandis se une a Larry Ellison al argumentar que la vigilancia global genera confianza. Las ciudades que cubren las cámaras con bolsas de basura sugieren que la gente no está de acuerdo. El fundador de Xprize, Peter Diamandis, dice que los humanos se comportan mejor cuando están siendo observados. El fundador de Xprize, Peter Diamandis, dice que los humanos se comportan mejor cuando están siendo observados. Diamandis se une a Larry Ellison al argumentar que la vigilancia global genera confianza. Las ciudades que cubren las cámaras con bolsas de basura sugieren que la gente no está de acuerdo. TikTok está construyendo en silencio una superaplicación con compras, reservas de hoteles, fintech y deportes. TikTok está construyendo en silencio una superaplicación con compras, reservas de hoteles, fintech y deportes. TikTok Shop alcanzó casi $16 mil millones en ventas en EE. UU. Ahora la aplicación añade reservas de hoteles, licencias fintech, un centro de la Copa del Mundo y juegos mientras persigue el modelo de superaplicación. La falla del desarrollador de Amazon Q permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos. La falla del desarrollador de Amazon Q permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos. Una vulnerabilidad de alta gravedad en Amazon Q Developer permitió que un repositorio clonado ejecutara silenciosamente un servidor MCP que robaba credenciales de AWS. Wiz lo descubrió, Amazon lo parcheó. TikTok está construyendo en silencio una superaplicación con compras, reservas de hoteles, fintech y deportes. TikTok está construyendo en silencio una superaplicación con compras, reservas de hoteles, fintech y deportes. TikTok Shop alcanzó casi $16 mil millones en ventas en EE. UU. Ahora la aplicación añade reservas de hoteles, licencias de fintech, un centro de la Copa del Mundo y juegos mientras persigue el modelo de super aplicación.

La vulnerabilidad de Amazon Q Developer permitió que repositorios maliciosos robaran credenciales de AWS a través de servidores MCP ilegítimos.

Una vulnerabilidad de alta gravedad en Amazon Q Developer permitió que un repositorio clonado ejecutara en silencio un servidor MCP que robaba credenciales de AWS. Wiz lo descubrió, Amazon lo parcheó.