La vulnerabilità di Amazon Q Developer ha permesso a repository malevoli di rubare le credenziali AWS tramite server MCP malintenzionati.

      TL;DRA una vulnerabilità nel Amazon Q Developer ha caricato automaticamente server MCP malevoli da repository clonati, consentendo agli attaccanti di rubare silenziosamente le credenziali AWS.

      Una vulnerabilità di alta gravità in Amazon Q Developer ha permesso a un repository di codice malevolo di eseguire silenziosamente comandi sulla macchina di uno sviluppatore e rubare le sue credenziali AWS. Wiz Research ha scoperto la vulnerabilità, tracciata come CVE-2026-12957, e l'ha segnalata ad Amazon il 20 aprile. Amazon ha corretto il problema il 12 maggio e la divulgazione è diventata pubblica oggi.

      L'attacco ha sfruttato il modo in cui Amazon Q Developer gestisce i server MCP, un protocollo che consente agli assistenti di codifica AI di connettersi a strumenti esterni e fonti di dati. Un file di configurazione posizionato all'interno di un repository registrerebbe automaticamente e avvierebbe un server MCP controllato dall'attaccante nel momento in cui uno sviluppatore clonava il progetto, senza alcun passaggio di conferma o consenso. Quel server ereditava le complete credenziali AWS dello sviluppatore, il ruolo IAM e qualsiasi altra variabile di ambiente disponibile al plugin IDE.

      I ricercatori di Wiz hanno dimostrato l'attacco costruendo una prova di concetto che eseguiva un comando di identità AWS standard attraverso il server MCP malevolo e inviava l'output a un server esterno. Il comando restituisce l'ID dell'account AWS dello sviluppatore, l'ARN dell'utente e le credenziali di sessione, tutto ciò di cui un attaccante ha bisogno per accedere alle risorse cloud. Poiché il server MCP si avviava automaticamente all'apertura del repository, l'attacco non richiedeva alcuna interazione oltre alla clonazione del codice, un modello che ha già abilitato compromissioni della catena di approvvigionamento in altri strumenti di codifica AI.

      Amazon ha risolto la vulnerabilità richiedendo un'esplicita approvazione dell'utente prima che qualsiasi server MCP possa avviarsi e limitando le variabili di ambiente a cui i server MCP possono accedere. Una seconda vulnerabilità trovata nella stessa revisione, CVE-2026-12958, ha rivelato che il plugin non controllava i collegamenti simbolici durante la scrittura dei file di workspace, consentendo a un attaccante di scrivere file arbitrari ovunque nel sistema dello sviluppatore. Amazon ha corretto entrambi i problemi nelle versioni aggiornate dei Language Servers per AWS e dei corrispondenti plugin IDE per VS Code, JetBrains, Eclipse e Visual Studio.

      La divulgazione aggiunge Amazon Q Developer a un elenco crescente di strumenti di codifica AI trovati vulnerabili ad attacchi della catena di approvvigionamento che sfruttano la fiducia che questi strumenti ripongono nei contenuti dei repository. Il Claude Code di Anthropic è stato trovato vulnerabile a un attacco simile di furto di credenziali attraverso l'iniezione di prompt in GitHub Actions all'inizio di quest'anno. Anche Cursor e Codeium's Windsurf hanno recentemente divulgato vulnerabilità correlate ai MCP.

      Il problema sottostante è che MCP, per design, dà agli assistenti AI la possibilità di chiamare strumenti esterni con le stesse autorizzazioni detenute dall'applicazione host. Quando un repository può registrare silenziosamente un server MCP che eredita le credenziali cloud di uno sviluppatore, la superficie di attacco si espande dal codice stesso a ogni servizio a cui lo sviluppatore può accedere. Amazon afferma che non ci sono prove che la vulnerabilità sia stata sfruttata nel mondo reale e il database delle advisory della CISA non elenca attacchi noti.

      Gli sviluppatori che utilizzano Amazon Q Developer dovrebbero aggiornare immediatamente i loro plugin IDE alle ultime versioni disponibili e controllare eventuali repository che hanno recentemente clonato per file di configurazione inaspettati. La lezione più ampia è la stessa che continua a ripetersi negli strumenti di sviluppo AI: qualsiasi file di configurazione che può attivare l'esecuzione di codice al momento della clonazione è un'arma, e gli strumenti che lo eseguono automaticamente sono quelli che hanno la sicurezza disattivata.





       Pubblicato il 26 giugno 2026 - 16:49 UTC



       Torna in cima

Altri articoli

TikTok sta costruendo silenziosamente un super app con shopping, prenotazioni di hotel, fintech e sport. TikTok Shop ha raggiunto quasi $16 miliardi di vendite negli Stati Uniti. Ora l'app aggiunge prenotazioni alberghiere, licenze fintech, un hub per la Coppa del Mondo e giochi mentre insegue il modello di super app.

Il fondatore di Xprize, Peter Diamandis, afferma che gli esseri umani si comportano meglio quando sono osservati. Diamandis si unisce a Larry Ellison nel sostenere che la sorveglianza globale costruisce fiducia. Le città che coprono le telecamere con sacchi della spazzatura suggeriscono che le persone non sono d'accordo.

La vulnerabilità di Amazon Q Developer ha permesso a repository malevoli di rubare le credenziali AWS tramite server MCP non autorizzati. Una vulnerabilità ad alta gravità in Amazon Q Developer ha permesso a un repository clonato di eseguire silenziosamente un server MCP che rubava le credenziali AWS. Wiz l'ha scoperta, Amazon l'ha corretta.

TikTok sta silenziosamente costruendo un super app con shopping, prenotazioni di hotel, fintech e sport. TikTok Shop ha raggiunto quasi 16 miliardi di dollari in vendite negli Stati Uniti. Ora l'app aggiunge prenotazioni alberghiere, licenze fintech, un hub per la Coppa del Mondo e giochi mentre insegue il modello di super app.

La vulnerabilità di Amazon Q Developer ha permesso a repository malevoli di rubare le credenziali AWS tramite server MCP malintenzionati.

Una vulnerabilità ad alta gravità in Amazon Q Developer ha permesso a un repo clonato di eseguire silenziosamente un server MCP che rubava le credenziali AWS. Wiz l'ha scoperta, Amazon l'ha corretta.