在一场新披露的供应链攻击中,npm包"postmark-mcp"被武器化,用于秘密窃取电子邮件,这标志着首次报告的MCP AI连接器协议在野外遭遇用户信任滥用和安全防护不足的问题。
这个恶意包在流行的node.js包注册表上每周有1500次下载,它冒充了实际的模型上下文协议服务器版本,用于将交易电子邮件服务Postmark集成到AI助手中。
"从1.0.16版本开始,它一直在悄悄地将每封邮件复制到开发者的个人服务器,"Koi Security的Idan Dardikman在博客文章中说。"我说的是密码重置、发票、内部备忘录、机密文件——一切。"
据Dardikman称,在此之前的十五个版本中,postmark-mcp一直是一个合法工具,受开发者信任用于将AI助手与电子邮件工作流集成。然后,通过单行代码更改,它悄悄地添加了后门。
通过隐藏密送的后门
Koi的风险引擎在1.0.16版本中标记了一个可疑行为,这引导他们的研究人员发现了一个隐藏的密送插入。攻击者复制了官方的MCP代码库,然后在代码深处注入了一行电子邮件复制代码。一旦该版本发布,每次工具发送电子邮件时,它都会悄悄地将副本转发到phan@giftshop.club,这是一个与攻击者相关的域名。相同的名称,相同的功能,只是增加了一个后门。
"postmark-mcp后门并不复杂——它简单得令人尴尬,"Dardikman补充道。"但它完美地展示了整个设置是多么完全崩溃。一个开发者。一行代码。成千上万的被盗邮件。"
他对影响的"保守"估计是每个组织每天约有3000到15000封邮件被未经授权访问,总共影响了500个组织。这些邮件可能包含敏感业务数据的集合,包括密码重置、发票、内部备忘录和其他私人通信。
由于恶意更改很小且在正常使用中几乎无法区分,它可能会在较长时间内保持未被检测状态。
包移除后风险依然存在
Koi安全研究人员在联系1.0.16版本的开发者澄清添加的'密送'功能时没有收到回复。相反,他们注意到该包在他们向npm报告之前就被迅速移除了。
然而,删除该包不会从已经运行它的机器上移除它。虽然不清楚实际有多少开发者下载了该版本,但"平均每周1500次"下载中的每一次都受到了损害——这可能是促使攻击者迅速撤回该包的因素。
为了减轻损害,Koi建议立即移除postmark-mcp(版本1.0.16),轮换可能通过电子邮件泄露的凭证,并彻底审计所有正在使用的MCP。"这些MCP服务器以与AI助手本身相同的权限运行——完全的电子邮件访问、数据库连接、API权限——但它们不出现在任何资产清单中,跳过了供应商风险评估,并绕过了从DLP到电子邮件网关的所有安全控制,"Dardikman补充道。"当有人意识到他们的AI助手几个月来一直在悄悄地将邮件密送到外部服务器时,损害已经是灾难性的。"
自从Claude的创建者Anthropic引入MCP以来,安全从业者一直对其持怀疑态度。随着时间的推移,该协议已经遇到了几个问题,Anthropic和Asana等供应商报告了其MCP实现中的关键缺陷。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)
公众号二维码
公众号二维码