Una falla del desarrollador de colas de Amazon permite que un repositorio malicioso robe credenciales de AWS a través de un servidor MCP fraudulento
TL; DR
Una falla en un servidor MCP no autorizado que se carga automáticamente desde un repositorio de desarrollador clonado de Amazon Q permite a los atacantes robar silenciosamente credenciales de AWS.
Una falla de alta gravedad en Amazon Q Developer permitió que un repositorio de código malicioso ejecutara comandos silenciosamente en la máquina de un desarrollador y robara sus credenciales de AWS. Wiz Research descubrió la vulnerabilidad, rastreada como CVE-2026-12957, y la informó a Amazon el 20 de abril. Amazon solucionó el problema el 12 de mayo y lanzó la versión hoy.
El ataque aprovechó la forma en que los desarrolladores de Amazon Q administran los servidores MCP, un protocolo que permite a los asistentes de codificación de IA conectarse a herramientas y fuentes de datos externas. Un archivo de configuración colocado dentro de un repositorio registrará e iniciará automáticamente un servidor MCP controlado por un atacante en el momento en que un desarrollador clone el proyecto, sin ningún tipo de solicitud o paso de consentimiento. Ese servidor hereda las credenciales completas de AWS del desarrollador, la función de IAM y cualquier otra variable de entorno disponible en el complemento IDE.
Los investigadores de Wiz demostraron el ataque creando una prueba de concepto que ejecuta un comando de identidad estándar de AWS a través del servidor MCP malicioso y envía el resultado a un servidor externo. El comando devuelve el ID de la cuenta de AWS del desarrollador, el ARN del usuario y las credenciales de sesión, todo lo que el atacante necesita para acceder a los recursos de la nube. Debido a que el servidor MCP se inicia automáticamente cuando se abre el repositorio, el ataque no requiere interacción más allá de la clonación del código, un patrón que ya ha permitido comprometer la cadena de suministro en otras herramientas de codificación de IA.
Espacio de coworking de TNW City: donde ocurre tu mejor trabajo
Un espacio de trabajo diseñado para el crecimiento, la colaboración y un sinfín de oportunidades de networking en el corazón de la tecnología.
Amazon solucionó la vulnerabilidad al requerir autorización explícita del usuario antes de iniciar un servidor MCP y restringir las variables de entorno a las que pueden acceder los servidores MCP. Una segunda falla encontrada en la misma auditoría, CVE-2026-12958, reveló que el complemento no buscaba enlaces simbólicos al escribir archivos del espacio de trabajo, lo que permitía a un atacante escribir archivos arbitrarios en cualquier lugar del sistema de un desarrollador. Amazon solucionó ambos problemas en versiones actualizadas de Language Server para AWS y los complementos IDE correspondientes para VS Code, JetBrains, Eclipse y Visual Studio.
La divulgación agrega a Amazon Q Developer a una lista cada vez mayor de herramientas de codificación de IA consideradas vulnerables a ataques a la cadena de suministro que explotan la confianza que estas herramientas depositan en el contenido del repositorio. A principios de este año, se descubrió que el código clod de Anthropic era vulnerable a un ataque similar de robo de credenciales mediante una inyección rápida en GitHub Actions. Cursor y Kodim’s Windsurf también han revelado vulnerabilidades relacionadas con MCP en los últimos meses.
El problema subyacente es que MCP, por diseño, le da al asistente de IA la capacidad de llamar a herramientas externas con permisos que tiene la aplicación host. Cuando un repositorio puede registrar silenciosamente un servidor MCP que hereda las credenciales de la nube de un desarrollador, la superficie de ataque se extiende desde el código mismo hasta todos los servicios a los que el desarrollador puede acceder. Amazon dice que no hay evidencia de que la falla haya sido explotada en la naturaleza, y la base de datos de asesoramiento de CISA no enumera ningún ataque conocido.
Los desarrolladores que utilizan Amazon Q Developer deben actualizar inmediatamente sus complementos IDE a las últimas versiones disponibles y auditar los repositorios que clonaron recientemente en busca de archivos de configuración inesperados. La lección general es la misma que las herramientas de desarrollo de IA siguen repitiendo: cualquier archivo de configuración que pueda desencadenar la ejecución de código en el momento de la clonación es un arma, y las herramientas que automatizan esa ejecución frenan la seguridad.
