Los investigadores de ciberseguridad han descubierto lo que se ha descrito como la primera instancia de un protocolo de contexto modelo malicioso (MCP) Servidor manchado en la naturaleza, aumentando los riesgos de la cadena de suministro de software.
Según Koi Security, un desarrollador de aspecto legítimo logró meterse en un código deshonesto dentro de un paquete NPM llamado «postmark-MCP«Eso copió una biblioteca oficial de Labs de Mastecho del mismo nombre. La funcionalidad maliciosa se introdujo en la versión 1.0.16, que se lanzó el 17 de septiembre de 2025.
La biblioteca real de «postmark-MCP», Disponible en Github, Expone un servidor MCP Para permitir a los usuarios enviar correos electrónicos, acceder y usar plantillas de correo electrónico, y rastrear campañas utilizando asistentes de inteligencia artificial (IA).
Desde entonces, el paquete NPM en cuestión ha sido eliminado de NPM por el desarrollador «fanpak,» OMS cargado Es al repositorio el 15 de septiembre de 2025, y mantiene otros 31 paquetes. La biblioteca de JavaScript atraído Un total de 1,643 descargas.
«Desde la versión 1.0.16, se ha estado copiando en silencio todos los correos electrónicos al servidor personal del desarrollador», el director de tecnología de seguridad de KOI, Idan Dardikman dicho. «Este es el primer avistamiento del mundo de un servidor MCP malicioso del mundo real. La superficie de ataque para los ataques de la cadena de suministro de punto final se está convirtiendo lentamente en la mayor superficie de ataque de la empresa».
El paquete malicioso es una réplica de la biblioteca original, salvo para un cambio de una línea agregado en la versión 1.0.16 que esencialmente reenvía cada correo electrónico enviado usando el servidor MCP a la dirección de correo electrónico «Phan@Giftshop[.]Club «bcc'ing it, potencialmente exponiendo comunicaciones sensibles.
«La puerta trasera de M-MCP no es sofisticada, es vergonzosamente simple», dijo Dardikman. «Pero demuestra perfectamente cuán completamente rota está toda esta configuración. Un desarrollador. Una línea de código. Miles y miles de correos electrónicos robados».
Se recomienda a los desarrolladores que han instalado el paquete NPM para eliminarlo de inmediato de sus flujos de trabajo, rotar cualquier credencial que pueda haber sido expuesta por correo electrónico y revisar los registros de correo electrónico para el tráfico BCC al dominio informado.
«Los servidores MCP generalmente se ejecutan con alta confianza y amplios permisos dentro de las cadenas de herramientas del agente. Como tal, cualquier datos que manejen pueden ser sensibles (restablecimiento de contraseña, facturas, comunicaciones de clientes, memorandos internos, etc.)», Snyk «, Snyk dicho. «En este caso, la puerta trasera en este servidor MCP se construyó con la intención de cosechar y exfiltrar correos electrónicos para flujos de trabajo de agente que se basaban en este servidor MCP».
Los hallazgos ilustran cómo los actores de amenaza continúan abusando de la confianza del usuario asociada con el ecosistema de código abierto y el naciente ecosistema de MCP para su ventaja, especialmente cuando se implementan en entornos críticos de negocios sin barandillas adecuadas.
Actualizar
En un comunicado, Mastacle dijo que el paquete NPM «Postmark-MCP» no era oficial, y que un actor malicioso creó un paquete falso en NPM que se hace pasar por su nombre para robar datos de correo electrónico.
«No desarrollamos, autorizamos ni participamos en el paquete NPM 'Postmark-MCP'», la plataforma de entrega de correo electrónico dicho. «La API y los servicios legítimos de Manedarks siguen siendo seguros y no afectados por este incidente».
Fuente