Când un pachet npm care pretindea a fi portul oficial postmark-mcp a început să copieze în secret corespondența utilizatorilor, comunitatea dezvoltatorilor a fost avertizată asupra ușurinței cu care pot fi compromise fluxurile de email automatizate. Istoric, proiectele open-source și registrele de pachete au fost resurse esențiale pentru dezvoltatori, dar și ținte constante pentru impostori; acest incident reamintește necesitatea verificării riguroase a surselor, o lecție amplificată de viteza cu care se distribuie codul în infrastructurile moderne.
Model Context Protocol, sau MCP pe scurt, este un standard deschis care permite asistenților AI să acceseze tool-uri, API-uri și baze de date într-un mod structurat. Postmark este o platformă de livrare a emailurilor, iar Postmark MCP este serverul MCP care expune funcționalitățile Postmark astfel încât asistenții AI să poată trimite emailuri în numele utilizatorilor sau aplicațiilor. Practic, e echivalentul oferirii unei „permisiuni globale” unui serviciu critic, foarte convenabil, dar riscant dacă ajunge în mâini greșite.
Cercetătorii de la Koi Security au constatat că pachetul malițios publicat pe npm fusese identic cu cel legitim până la versiunea 1.0.15. La 1.0.16, însă, autorul a introdus o singură linie de cod care copia toate emailurile utilizatorilor și le redirecționa către o adresă externă, giftshop[.]club, asociată aceluiași dezvoltator. O schimbare minusculă, dar cu efecte majore: parole resetate, coduri de autentificare în doi pași, detalii financiare sau date ale clienților ar fi putut fi exfiltrate. Funcționalitatea periculoasă a fost activă pe npm timp de o săptămână și, în acea perioadă, pachetul a fost descărcat de aproximativ 1.500 de ori. Koi Security estimează că numărul de emailuri scoase ar putea fi de ordinul miilor.
Recomandarea practică pentru cei care au instalat postmark-mcp din npm este să elimine imediat pachetul și să rotească orice credențial posibil compromis. Este indicat să se auditeze serverele MCP utilizate și să se monitorizeze activitatea suspectă. Deși BleepingComputer a contactat publisherul pachetului pe npm pentru clarificări, inițial nu a primit răspuns; ulterior, dezvoltatorul a șters pachetul malițios de pe platformă.
Raportul Koi Security evidențiază un model de securitate deficitar: servere critice sunt operate fără supraveghere adecvată sau fără sandboxing, iar asistenții AI pot rula comenzi malițioase fără filtrare eficientă. Având în vedere privilegiile extinse ale MCP-urilor, orice vulnerabilitate sau configurare greșită poate avea consecințe serioase. În practică, e ca și cum ai lăsa cheile casei la orice trecător care pretinde că e de încredere.
Măsurile de prevenție recomandate sunt clare: confirmați sursa proiectului și asigurați-vă că este repository-ul oficial, revizuiți codul sursă și changelog-urile, verificați meticulos orice schimbare înainte de a actualiza. În producție, rulați serverele MCP în containere izolate sau sandbox-uri și supravegheați comportamentul pentru semne de exfiltrare de date sau comunicații neautorizate. Monitorizarea activă și testele izolate pot detecta astfel de modificări înainte să devină problematice.
Koi Security a identificat versiunea 1.0.16 ca fiind cea compromisă; pachetul a fost descărcat în jur de 1.500 de ori, iar exfiltrarea a fost direcționată către giftshop[.]club. Verificarea sursei, rotația credentialelor și izolarea MCP-urilor sunt pași concreți pe care echipele îi pot aplica urgent. Ce mecanisme interne utilizezi tu pentru a verifica pachetele npm înainte de a le rula în producție?
Fii primul care comentează