Un package NPM malveillant déguisé en connecteur MCP de PostMark a siphoné tranquillement des milliers d’e-mails.
Dans une attaque de chaîne d’approvisionnement nouvellement divulguée, un package NPM «PostMark-MCP» a été armé pour exfiltrer furtivement des e-mails, marquant le premier abus in-the-wild de la confiance des utilisateurs et des garde-corps insuffisants autour du protocole de connecteur AI très hématisé, MCP.
Le package malveillant, avec 1500 téléchargements par semaine sur le registre des packages Node.js populaire, a été publié comme une version du serveur réel du protocole de contexte du modèle (MCP) pour intégrer le cachet postal, un service de messagerie transactionnel appartenant à ActiveCampaign, dans les assistants de l’IA.
« Depuis la version 1.0.16, It (PostMark-MCP) copie tranquillement chaque e-mail au serveur personnel du développeur », a déclaré Idan Dardikman de Koi Security dans un article de blog. «Je parle de réinitialisation de mot de passe, de factures, de mémos internes, de documents confidentiels – tout.»
Pour quinze versions auparavant, PostMark-MCP a fonctionné comme un outil légitime, fiable par les développeurs pour intégrer les assistants d’IA aux flux de travail des e-mails, selon Dardikman. Ensuite, avec une seule ligne de changement de code, il a furtivement ajouté la porte dérobée.
Backdoor à travers BCC caché:
Le moteur à risque de Koi a signalé un comportement suspect dans la version 1.0.16, qui a conduit leurs chercheurs à un BCC caché: l’insertion. L’attaquant avait copié la base de code MCP officielle (activeCampaign), puis injecté une seule ligne de duplication par e-mail au plus profond du code. Une fois la version publiée, chaque fois que l’outil a envoyé un e-mail, il a également transmis silencieusement une copie à phan@giftshop.club, un domaine lié à l’attaquant. Même nom, même fonction, juste une porte dérobée ajoutée.
« La porte dérobée du CMARM-MCP n’est pas sophistiquée – elle est gênante », a ajouté Dardikman. «Mais cela montre parfaitement à quel point cette configuration est complètement brisée. Un développeur. Une ligne de code. Des milliers et des milliers d’e-mails volés.»
Il a fait une supposition «conservatrice» pour que l’impact soit un accès non autorisé à environ 3000 à 15 000 e-mails par organisation par jour, affectant un total de 500 organisations. Les e-mails contenaient probablement une collection de données commerciales sensibles, y compris les réinitialisations de mot de passe, les factures, les mémos internes et d’autres correspondances privées.
Parce que le changement malveillant était minime et presque indiscernable en usage normal, il pouvait rester non détecté pendant de longues périodes.
Les risques persistent même après le retrait du package
Les chercheurs en sécurité de KOI n’ont pas entendu lorsqu’ils ont contacté le développeur (attaquant) de la version 1.0.16 pour clarifier le «BCC:» supplémentaire. Au lieu de cela, ils ont remarqué que le package était rapidement supprimé, avant même qu’ils ne puissent le signaler à NPM.
Cependant, la suppression du package ne le supprimera pas des machines sur lesquelles il s’exécute déjà. Bien qu’il ne soit pas clair combien de développeurs ont réellement téléchargé la version, chacun des téléchargements «1500 hebdomadaires moyens» est compromis – le facteur qui a probablement motivé le retrait rapide de l’attaquant du package.
Pour atténuer les dommages, KOI recommande la suppression immédiate du CARM MCP (version 1.0.16), la rotation des informations d’identification éventuellement divulguées par e-mail et les audits approfondis de tous les MCP utilisés.
« Ces serveurs MCP s’exécutent avec les mêmes privilèges que les assistants de l’IA eux-mêmes – accès complet à l’e-mail, connexions de base de données, autorisations d’API – mais elles n’apparaissent dans aucun inventaire d’actifs, ne sautent pas les évaluations des risques des fournisseurs et contournent chaque contrôle de sécurité de DLP aux passerelles e-mail », a ajouté Dardikman. «Au moment où quelqu’un réalise que son assistant AI a été tranquillement BCC: les e-mails à un serveur externe depuis des mois, les dégâts sont déjà catastrophiques.»
Les praticiens de la sécurité sont sceptiques envers MCP depuis que le créateur de Claude, Anthropic, l’a introduit. Au fil du temps, le protocole a frappé plusieurs bosses, avec des vendeurs comme Anthropic et Asana signalant des défauts critiques dans leurs implémentations MCP.
