Egy, a GitHubon található hivatalos Postmark MCP projektet másoló npm csomag a legutóbbi frissítéssel vált rosszindulatúvá, amikor hozzáadtak egyetlen sornyi kódot, amely az összes felhasználó e-mail kommunikációját kiszivárogtatta. A Model Context Protocol (MCP) egy nyílt szabvány, amely lehetővé teszi az AI alapú rendszerek számára, hogy strukturált, előre meghatározott és biztonságos módon kapcsolódjanak külső eszközökhöz, API-khoz, adatbázisokhoz.
A Postmark egy e-mail kézbesítési platform, a Postmark MCP pedig az MCP kiszolgáló, amely a Postmark funkcióit teszi elérhetővé az AI alapú rendszerek számára (például e-mail küldése a felhasználó vagy az alkalmazás nevében).
A megbízhatónak tűnő fejlesztő által közzétett rosszindulatú csomag a kód és a leírás szempontjából a legitim csomag tökéletes másolata volt, és 15 iteráción keresztül hivatalos portként jelent meg az npm-en. A Koi Security kiberbiztonsági kutatói felfedezték, hogy az npm-en található rosszindulatú csomag az 1.0.15-ös verzióig minden kiadásban tiszta volt, de az 1.0.16-os változatban hozzáadtak egy sort, amely az összes felhasználói e-mailt egy külső címre, a giftshop[.]club domainre továbbította. Ez pedig ugyanahhoz a fejlesztőhöz volt köthető.
Ez a biztonsági szempontból rendkívül kockázatos funkció személyes, bizalmas kommunikációkat, jelszó-visszaállítási kérelmeket, kétfaktoros hitelesítési kódokat, pénzügyi adatokat és akár ügyfélinformációkat is kiszivárogtathatott. Azok számára, akik letöltötték a postmark-mcp csomagot az npm-ből, javasolt az azonnali eltávolítása, valamint minden hitelesítő adat lecserélése. Emellett ellenőrizni kell az összes használatban lévő MCP-kiszolgálót, és fokozottan figyelni a gyanús tevékenységeket.
A Koi Security jelentése rámutat egy hibás biztonsági modellre, amelyben a szervereket kritikus környezetben felügyelet vagy sandboxolás nélkül telepítik, az AI alapú rendszerek pedig képesek rosszindulatú parancsokat végrehajtani azok kiszűrése nélkül. Mivel az MCP-k nagyon magas jogosultságokkal futnak, bármilyen sebezhetőség vagy helytelen konfiguráció jelentős kockázatot hordoz.
A felhasználóknak ellenőrizni kell a projekt forrását, és meg kell győződni arról, hogy hivatalos adattárból származik. Át kell tekinteni a forráskódot és a változásnaplókat is, valamint minden frissítésben alaposan meg kell vizsgálni a módosításokat. Mielőtt egy új verziót éles környezetben alkalmaznánk, az MCP-kiszolgálókat elkülönített konténerekben vagy sandboxokban kell futtatni, és figyelni a viselkedésüket gyanús tevékenységek, például adatlopás vagy jogosulatlan kommunikáció szempontjából.
A rosszindulatú csomag azóta eltávolításra került az npm-ből.
