恶意 MCP 服务器被发现通过 AI 代理窃取敏感电子邮件数据
研究人员发现,一个恶意的模型上下文协议 (MCP) 服务器每天通过 AI 助手集成窃取数千封电子邮件,这是第一起有记录的针对新兴 MCP 生态系统的供应链攻击案例。
研究人员发现,一个恶意的模型上下文协议 (MCP) 服务器每天通过 AI 助手集成窃取数千封电子邮件,这是第一起有记录的针对新兴 MCP 生态系统的供应链攻击案例。
受感染的软件包 postmark-mcp 每周被下载约 1,500 次,自 1.0.16 版本以来一直在悄悄窃取敏感的电子邮件通信。
Koi 的安全研究人员在其风险引擎标记出流行的电子邮件集成工具中的可疑行为变化后发现了后门。
一行简单的代码即可窃取数千封电子邮件,该恶意代码由隐藏在第 231 行的一行代码组成,会自动为通过 MCP 服务器处理的每封电子邮件添加密件抄送 (BCC) 至“giftshop.club”。
复杂的供应链欺骗
此次攻击表明,供应链入侵行为正在发生令人担忧的演变。postmark-mcp 的 15 个版本均正常运行,在开发者社区中建立了信任。
该恶意开发者是一名来自巴黎的软件工程师,在 GitHub 上拥有一定知名度,他通过从 ActiveCampaign 的存储库复制合法代码并以相同的名称发布在 npm 上,冒充了官方的 Postmark 集成。
该后门的实现看似简单,实则效果惊人。恶意代码会自动将外部电子邮件地址附加到所有外发通信中,使攻击者能够在不被发现的情况下拦截密码重置、发票、内部备忘录和机密文件。
与这些MCP 服务器自主运行的 AI 助手无法识别未经授权的 BCC 字段并继续正常执行电子邮件操作。
保守估计,此次泄露事件影响了大约 300 个积极使用该工具的组织,每天可能导致 3,000 至 15,000 封电子邮件遭受未经授权的访问。
泄露的数据可能包括 API 密钥、财务信息、客户通信和其他敏感的商业情报。
关键基础设施漏洞
该事件凸显了 MCP 生态系统中的基本安全漏洞,其中 AI 助手以上帝模式权限在电子邮件系统、数据库和API端点上运行。
与传统的 npm 包不同,MCP 服务器专为自主 AI 执行而设计,可创建绕过传统安全控制的盲目信任关系。
受感染的软件包在标准企业安全边界之外运行,避开了资产清单、供应商风险评估和数据丢失预防系统。
使用集成 MCP 的 AI 助手的组织可能会在不知不觉中将关键基础设施暴露于类似的威胁。
在研究人员联系后,该开发者在未作任何解释的情况下从 npm 中删除了该软件包,但已安装的实例仍然处于活动状态并继续窃取数据。攻击服务器 giftshop.club 似乎是由同一开发者控制的另一个项目。
使用 Postmark-MCP 1.0.16 或更高版本的组织应立即删除该软件包并更换可能暴露的凭据。建议安全团队在部署之前审核所有 MCP 服务器的实施情况,并建立 AI 助手集成的验证流程。
IOCs
Package: postmark-mcp (npm)
Malicious Version: 1.0.16 and later
Backdoor Email: phan@giftshop[.]club
Domain: giftshop[.]club
受感染的软件包 postmark-mcp 每周被下载约 1,500 次,自 1.0.16 版本以来一直在悄悄窃取敏感的电子邮件通信。
Koi 的安全研究人员在其风险引擎标记出流行的电子邮件集成工具中的可疑行为变化后发现了后门。
一行简单的代码即可窃取数千封电子邮件,该恶意代码由隐藏在第 231 行的一行代码组成,会自动为通过 MCP 服务器处理的每封电子邮件添加密件抄送 (BCC) 至“giftshop.club”。
复杂的供应链欺骗
此次攻击表明,供应链入侵行为正在发生令人担忧的演变。postmark-mcp 的 15 个版本均正常运行,在开发者社区中建立了信任。
该恶意开发者是一名来自巴黎的软件工程师,在 GitHub 上拥有一定知名度,他通过从 ActiveCampaign 的存储库复制合法代码并以相同的名称发布在 npm 上,冒充了官方的 Postmark 集成。
该后门的实现看似简单,实则效果惊人。恶意代码会自动将外部电子邮件地址附加到所有外发通信中,使攻击者能够在不被发现的情况下拦截密码重置、发票、内部备忘录和机密文件。
与这些MCP 服务器自主运行的 AI 助手无法识别未经授权的 BCC 字段并继续正常执行电子邮件操作。
保守估计,此次泄露事件影响了大约 300 个积极使用该工具的组织,每天可能导致 3,000 至 15,000 封电子邮件遭受未经授权的访问。
泄露的数据可能包括 API 密钥、财务信息、客户通信和其他敏感的商业情报。
关键基础设施漏洞
该事件凸显了 MCP 生态系统中的基本安全漏洞,其中 AI 助手以上帝模式权限在电子邮件系统、数据库和API端点上运行。
与传统的 npm 包不同,MCP 服务器专为自主 AI 执行而设计,可创建绕过传统安全控制的盲目信任关系。
受感染的软件包在标准企业安全边界之外运行,避开了资产清单、供应商风险评估和数据丢失预防系统。
使用集成 MCP 的 AI 助手的组织可能会在不知不觉中将关键基础设施暴露于类似的威胁。
在研究人员联系后,该开发者在未作任何解释的情况下从 npm 中删除了该软件包,但已安装的实例仍然处于活动状态并继续窃取数据。攻击服务器 giftshop.club 似乎是由同一开发者控制的另一个项目。
使用 Postmark-MCP 1.0.16 或更高版本的组织应立即删除该软件包并更换可能暴露的凭据。建议安全团队在部署之前审核所有 MCP 服务器的实施情况,并建立 AI 助手集成的验证流程。
IOCs
Package: postmark-mcp (npm)
Malicious Version: 1.0.16 and later
Backdoor Email: phan@giftshop[.]club
Domain: giftshop[.]club
关于作者
评论0次