Máy chủ MCP độc hại đầu tiên được phát hiện đánh cắp email Postmark-MCP giả mạo

[Starlink]

Các nhà nghiên cứu an ninh mạng đã phát hiện ra trường hợp được mô tả là lần đầu tiên máy chủ Model Context Protocol (MCP) độc hại được phát hiện ngoài thực tế, làm gia tăng rủi ro cho chuỗi cung ứng phần mềm.

Theo Koi Security, một nhà phát triển trông có vẻ hợp pháp đã chèn mã độc vào gói npm có tên " postmark-mcp ", sao chép một thư viện Postmark Labs chính thức cùng tên. Chức năng độc hại này được giới thiệu trong phiên bản 1.0.16, phát hành ngày 17 tháng 9 năm 2025.

Thư viện "postmark-mcp" thực tế, có sẵn trên GitHub, cung cấp máy chủ MCP cho phép người dùng gửi email, truy cập và sử dụng mẫu email và theo dõi các chiến dịch bằng trợ lý trí tuệ nhân tạo (AI).

Gói npm nói trên đã bị xóa khỏi npm bởi nhà phát triển " phanpak ", người đã tải nó lên kho lưu trữ vào ngày 15 tháng 9 năm 2025 và duy trì 31 gói khác. Thư viện JavaScript đã thu hút tổng cộng 1.643 lượt tải xuống.

"Kể từ phiên bản 1.0.16, nó đã âm thầm sao chép mọi email vào máy chủ cá nhân của nhà phát triển", Idan Dardikman, Giám đốc Công nghệ của Koi Security, cho biết. "Đây là lần đầu tiên trên thế giới phát hiện ra một máy chủ MCP độc hại ngoài đời thực. Bề mặt tấn công cho các cuộc tấn công chuỗi cung ứng điểm cuối đang dần trở thành bề mặt tấn công lớn nhất của doanh nghiệp."

Gói độc hại là bản sao của thư viện gốc, ngoại trừ một thay đổi trên một dòng được thêm vào phiên bản 1.0.16 về cơ bản sẽ chuyển tiếp mọi email được gửi bằng máy chủ MCP đến địa chỉ email "phan@giftshop[.]club" bằng cách BCC, có khả năng làm lộ các thông tin liên lạc nhạy cảm.

"Cửa hậu postmark-mcp không hề tinh vi – nó đơn giản đến mức đáng xấu hổ," Dardikman nói. "Nhưng nó cho thấy rõ ràng toàn bộ hệ thống này đã bị phá vỡ hoàn toàn như thế nào. Một nhà phát triển. Một dòng mã. Hàng ngàn email bị đánh cắp."

Các nhà phát triển đã cài đặt gói npm được khuyến nghị xóa ngay gói này khỏi quy trình làm việc của mình, luân chuyển mọi thông tin xác thực có thể đã bị lộ qua email và xem lại nhật ký email để tìm lưu lượng BCC đến miền đã báo cáo.

"Máy chủ MCP thường chạy với độ tin cậy cao và quyền hạn rộng rãi bên trong chuỗi công cụ tác nhân. Do đó, bất kỳ dữ liệu nào chúng xử lý đều có thể nhạy cảm (đặt lại mật khẩu, hóa đơn, thông tin liên lạc với khách hàng, bản ghi nhớ nội bộ, v.v.)", Snyk nói. "Trong trường hợp này, backdoor trong Máy chủ MCP này được xây dựng với mục đích thu thập và đánh cắp email cho các quy trình làm việc của tác nhân dựa trên Máy chủ MCP này."

Những phát hiện này minh họa cách các tác nhân đe dọa tiếp tục lợi dụng lòng tin của người dùng liên quan đến hệ sinh thái nguồn mở và hệ sinh thái MCP mới ra đời để trục lợi, đặc biệt là khi chúng được triển khai trong các môi trường kinh doanh quan trọng mà không có biện pháp bảo vệ đầy đủ.

Trong một tuyên bố, Postmark cho biết gói npm "postmark-mcp" không phải là gói chính thức và một kẻ xấu đã tạo ra một gói giả trên npm mạo danh tên của gói này để đánh cắp dữ liệu email.

"Chúng tôi không phát triển, ủy quyền hoặc có bất kỳ liên quan nào đến gói npm 'postmark-mcp'", nền tảng gửi email cho biết. "API và các dịch vụ Postmark hợp pháp vẫn an toàn và không bị ảnh hưởng bởi sự cố này."