Un fallo en la extensión Amazon Q para VS Code permite robar credenciales en la nube
Resumen rápido
Investigadores han revelado una vulnerabilidad en la extensión de Amazon Q para VS Code que permite a un adversario plantar un repositorio malicioso capaz de ejecutar código arbitrario y robar credenciales de la nube. El caso evidencia el creciente riesgo de los agentes de IA y del protocolo MCP integrados en los entornos de desarrollo.
El asistente de IA en tu IDE como nueva superficie de ataque
El problema
Un fallo en la extensión de Amazon Q para Visual Studio Code —el asistente de IA de AWS integrado en el editor— permite a un atacante ejecutar código arbitrario y robar credenciales de la nube del desarrollador. El vector es especialmente insidioso: basta con que la víctima abra un repositorio malicioso preparado por el adversario.
El asistente de IA, al procesar el contenido del proyecto, puede ser inducido a ejecutar acciones no previstas. Dado que la extensión opera con los permisos y el contexto del desarrollador —incluido el acceso a credenciales de AWS configuradas localmente—, un repositorio diseñado con intención maliciosa puede desencadenar la ejecución de comandos y la exfiltración de claves de acceso, tokens de sesión y secretos hacia infraestructura controlada por el atacante.
El riesgo creciente de MCP y los agentes de IA
Este caso es un ejemplo paradigmático de una clase de amenaza en rápida expansión: la del Model Context Protocol (MCP) y los agentes de IA con capacidad de acción dentro del flujo de trabajo del desarrollador. Cuando un asistente puede leer ficheros, invocar herramientas y ejecutar comandos en nombre del usuario, el contenido no confiable —un repositorio de terceros, una dependencia, un fichero de configuración— se convierte en un potencial canal de inyección de instrucciones (prompt injection) con consecuencias en el mundo real.
La frontera entre "datos" e "instrucciones" se difumina: un comentario en el código o un fichero README pueden contener directivas que el agente interprete y ejecute. El resultado es una nueva categoría de ataques a la cadena de suministro del desarrollo, donde el eslabón comprometido no es un paquete con malware tradicional, sino la propia capa de IA que asiste al programador.
Recomendaciones inmediatas
- Tratar todo repositorio externo como no confiable antes de abrirlo en un IDE con asistentes de IA activos.
- Limitar el alcance de las credenciales disponibles en el entorno de desarrollo: usar credenciales temporales, de mínimo privilegio y con expiración corta (p. ej. roles asumidos en lugar de claves de larga duración).
- Revisar y restringir los permisos que se conceden a las extensiones de IA y a los servidores MCP.
- Actualizar la extensión de Amazon Q a la última versión disponible.
- Aislar el análisis de repositorios desconocidos en entornos efímeros o sandboxes sin acceso a credenciales productivas.
¿Estás cubierto en DefensOps?
El motor de correlación de DefensOps, disponible desde el plan Essential, puede detectar la actividad posterior a un compromiso de este tipo: uso anómalo de credenciales de la nube desde nuevas ubicaciones, llamadas inusuales a las APIs del proveedor y exfiltración de datos hacia destinos no habituales.
Mapeamos esta cadena a técnicas MITRE ATT&CK como T1552 (Unsecured Credentials) por el acceso a las claves locales, T1059 (Command and Scripting Interpreter) por la ejecución de código a través del agente, y T1567 (Exfiltration Over Web Service) por la salida de los secretos hacia infraestructura del atacante.
👉 Consulta los planes de DefensOps y solicita una demo para comprobar cómo detectamos el uso indebido de credenciales en la nube.
Fuentes: Dark Reading
¿Estás cubierto en DefensOps?
DefensOps detecta esta amenaza desde el plan Essential.
Técnicas MITRE ATT&CK: T1552, T1059, T1567
- Detección de uso anómalo de credenciales en la nube · T1552 · plan Essential
Protege tu organización con DefensOps
SIEM, detección gestionada y respuesta. Descubre cómo cubrimos amenazas como esta.