Die Lücken ermöglichten es Angreifern, über manipulierte Code-Repositories Befehle auszuführen und sensible Cloud-Zugangsdaten zu stehlen.
Die als CVE-2026-12957 und CVE-2026-12958 registrierten Sicherheitslücken betrafen mehrere Entwicklungsumgebungen (IDEs) – darunter Visual Studio Code, JetBrains, Eclipse und Visual Studio. Entdeckt wurden die Schwachstellen von Forschern der Sicherheitsfirma Wiz, die Amazon am 20. April 2024 informierten. Der Konzern veröffentlichte am 12. Mai 2024 erste Patches, die formelle Offenlegung samt detaillierter Sicherheitshinweise erfolgte nun am 26. Juni 2026.
Automatische Code-Ausführung ohne Nutzerzustimmung
Die Hauptschwachstelle CVE-2026-12957 erhielt einen CVSS-Schweregrad von 8,5 – die zweithöchste Risikostufe. Das Problem lag in der Art, wie die Erweiterung Konfigurationen des Model Context Protocol (MCP) verarbeitete. Klonte ein Entwickler ein bösartiges Repository und öffnete es in seiner IDE, lud die Erweiterung automatisch die darin definierten MCP-Server und führte sie aus – ohne den Nutzer um Erlaubnis zu fragen.
Dieser automatische Lademechanismus erlaubte Angreifern, beliebige Befehle auf dem Rechner des Entwicklers auszuführen. Im Hintergrund konnten die Schadprogramme dann AWS-Zugangsdaten und andere sensible Umgebungsvariablen auslesen und an fremde Server übertragen.
Die zweite Schwachstelle CVE-2026-12958 betraf eine unzureichende Prüfung von symbolischen Links (Symlinks). Angreifer konnten damit beliebige Dateien auf dem System überschreiben – ein Einfallstor für tiefere Angriffe auf die gesamte Cloud-Infrastruktur.
Patches verfügbar – bislang keine Ausnutzung bekannt
AWS zufolge gibt es bislang keine Hinweise darauf, dass die Lücken vor der Offenlegung aktiv ausgenutzt wurden. Der Konzern veröffentlichte die Language Servers für AWS Version 1.65.0 zur Behebung von CVE-2026-12957; Version 1.69.0 schließt beide Sicherheitslücken vollständig.
Die automatische Code-Ausführung ohne Nutzerzustimmung ist ein Albtraum für jedes DevOps-Team. Dieser Report zeigt, wie Sie Ihre IDE-Erweiterungen absichern und Lieferkettenangriffe verhindern – inklusive Patch-Plan und Sicherheitsregeln für KI-Assistenten. Jetzt kostenlosen Sicherheits-Report anfordern
Betroffen waren unter anderem:
– Amazon Q Developer für VS Code vor Version 2.20
– JetBrains-Erweiterungen vor Version 4.3
– Eclipse-Erweiterungen vor Version 2.7.4
– AWS Toolkit für Visual Studio vor Version 1.94.0.0
Sicherheitsexperten warnen vor mehreren möglichen Angriffsvektoren: manipulierte Pull-Requests, Softwarepakete mit vertauschten Buchstaben (Typosquatting) oder gefälschte Programmiertests – alles Methoden, um Entwickler zum Klonen kompromittierter Repositories zu verleiten.
Welle von Cloud-Angriffen
Die Offenlegung der Amazon-Q-Lücken fällt in eine Phase massiv zunehmender Angriffe auf Cloud-Zugangsdaten. Seit Mitte 2025 läuft eine Adversary-in-the-Middle (AiTM) -Phishingkampagne, die gezielt AWS-Nutzer ins Visier nimmt. Die Angreifer nutzen geklonte Login-Seiten, um Zugangsdaten und sogar Multi-Faktor-Authentifizierungscodes in Echtzeit abzufangen.
Zwischen dem 19. und 23. Juni 2026 registrierten Forscher einen deutlichen Anstieg dieser Aktivitäten. Die Kampagne zielt vor allem auf Softwareentwickler in den USA ab und nutzt Cloudflare-Infrastruktur sowie den E-Mail-Dienst SendGrid, um herkömmliche Sicherheitsfilter zu umgehen.
Während die AiTM-Phishingkampagne gegen AWS-Nutzer läuft, sind ungepatchte Amazon-Q-Erweiterungen ein offenes Tor für Angreifer. Unser Leitfaden hilft Ihnen, Schwachstellen in VS Code, JetBrains & Co. zu identifizieren und zu schließen – bevor Ihre Zugangsdaten im Darknet landen. Sicherheits-Leitfaden jetzt sichern
Auch die Lieferkettenrisiken haben sich verschärft. Am 17. Juni 2026 kompromittierte die nordkoreanische Gruppe Sapphire Sleet 141 npm-Pakete im Mastra AI Agent Framework. Der 88-minütige Angriff nutzte schädliche Post-Install-Skripte, um Kryptowährungs-Wallets zu attackieren. Bereits am 12. Juni war der SaaS-Anbieter Klue gehackt worden – Diebe erbeuteten OAuth-Tokens für Salesforce-Integrationen und trafen damit mehrere namhafte Technologie- und Sicherheitsfirmen.
Für Branchenbeobachter ist die Entwicklung alarmierend: Je stärker Unternehmen auf integrierte KI-Entwicklungswerkzeuge setzen, desto genauer müssten implementierungsspezifische Sicherheitsrisiken – besonders rund um Protokolle wie MCP – unter die Lupe genommen werden. Sonst droht die automatisierte Ernte von Zugangsdaten zum neuen Normal zu werden.
