当前位置: 首页 > news >正文

MCP信任遭遇首次野外攻击:通过仿冒Postmark连接器窃取邮件

在一场新披露的供应链攻击中,npm包"postmark-mcp"被武器化,用于秘密窃取电子邮件,这标志着首次报告的MCP AI连接器协议在野外遭遇用户信任滥用和安全防护不足的问题。

这个恶意包在流行的node.js包注册表上每周有1500次下载,它冒充了实际的模型上下文协议服务器版本,用于将交易电子邮件服务Postmark集成到AI助手中。

"从1.0.16版本开始,它一直在悄悄地将每封邮件复制到开发者的个人服务器,"Koi Security的Idan Dardikman在博客文章中说。"我说的是密码重置、发票、内部备忘录、机密文件——一切。"

据Dardikman称,在此之前的十五个版本中,postmark-mcp一直是一个合法工具,受开发者信任用于将AI助手与电子邮件工作流集成。然后,通过单行代码更改,它悄悄地添加了后门。

通过隐藏密送的后门

Koi的风险引擎在1.0.16版本中标记了一个可疑行为,这引导他们的研究人员发现了一个隐藏的密送插入。攻击者复制了官方的MCP代码库,然后在代码深处注入了一行电子邮件复制代码。一旦该版本发布,每次工具发送电子邮件时,它都会悄悄地将副本转发到phan@giftshop.club,这是一个与攻击者相关的域名。相同的名称,相同的功能,只是增加了一个后门。

"postmark-mcp后门并不复杂——它简单得令人尴尬,"Dardikman补充道。"但它完美地展示了整个设置是多么完全崩溃。一个开发者。一行代码。成千上万的被盗邮件。"

他对影响的"保守"估计是每个组织每天约有3000到15000封邮件被未经授权访问,总共影响了500个组织。这些邮件可能包含敏感业务数据的集合,包括密码重置、发票、内部备忘录和其他私人通信。

由于恶意更改很小且在正常使用中几乎无法区分,它可能会在较长时间内保持未被检测状态。

包移除后风险依然存在

Koi安全研究人员在联系1.0.16版本的开发者澄清添加的'密送'功能时没有收到回复。相反,他们注意到该包在他们向npm报告之前就被迅速移除了。

然而,删除该包不会从已经运行它的机器上移除它。虽然不清楚实际有多少开发者下载了该版本,但"平均每周1500次"下载中的每一次都受到了损害——这可能是促使攻击者迅速撤回该包的因素。

为了减轻损害,Koi建议立即移除postmark-mcp(版本1.0.16),轮换可能通过电子邮件泄露的凭证,并彻底审计所有正在使用的MCP。"这些MCP服务器以与AI助手本身相同的权限运行——完全的电子邮件访问、数据库连接、API权限——但它们不出现在任何资产清单中,跳过了供应商风险评估,并绕过了从DLP到电子邮件网关的所有安全控制,"Dardikman补充道。"当有人意识到他们的AI助手几个月来一直在悄悄地将邮件密送到外部服务器时,损害已经是灾难性的。"

自从Claude的创建者Anthropic引入MCP以来,安全从业者一直对其持怀疑态度。随着时间的推移,该协议已经遇到了几个问题,Anthropic和Asana等供应商报告了其MCP实现中的关键缺陷。
更多精彩内容 请关注我的个人公众号 公众号(办公AI智能小助手)
对网络安全、黑客技术感兴趣的朋友可以关注我的安全公众号(网络安全技术点滴分享)

公众号二维码

公众号二维码

http://www.hskmm.com/?act=detail&tid=31044

相关文章:

  • Windows MySQL 管理
  • Hyperbeat Earn 套利指南:新手也能玩转 DeFi 赚钱术
  • 数据流通合规新基建 隐私计算平台的三重安全防线
  • 如何在AutoCAD中管理GIS属性表?
  • 10.14
  • 小程序分享
  • 21届acm线下密码题目real_easy_rsa
  • 2025 年迷你仓厂家行业选购指南:安东易/小型/微型/商用/搬家/装修/电商/恒温迷你仓厂家,聚焦安全与灵活,这份优质厂商推荐榜请收好
  • 连锁餐饮拓展微信业务:试错 3 个月,终于找到靠谱方案
  • 图论 Walks Trails and Paths in Graph Theory 路径,链,简单路径
  • 2025 年国内面板生产厂家最新推荐排行榜,涵盖耐用 / 肤感 / 半透 / 防指纹 / 电镀 / 防静电面板等多特性优质面板厂家推荐
  • 3、推荐统一使用 ResponseEntity<T> 作为控制器返回类型 - 详解
  • 2025年法兰保护罩/阀门保温罩/法兰罩/法兰防溅罩/法兰保护套厂家最新推荐榜单,专业防护与高效节能首选!
  • 敏捷研发管理工具深度测评:ONES、Jira、YouTrack 等 10 款全维度分析
  • HyperWorks许可证与其他软件的卓越集成
  • 深入理解C++中的字符编码问题:从原理到实践 - 实践
  • 2025 年老年记忆训练器厂家最新推荐榜:权威解析头部品牌创新优势与选购指南
  • 护理白板系统统一外网映射配置
  • 基于MATLAB的梯度投影稀疏重建算法
  • openldap之slappasswd
  • 杰理GPIO状态设置
  • 【STM32 系列】理清 xxRAM、xxROM、xxFlash 的核心作用,附 H7 系列超便捷内存区域管理方法
  • 深入理解 AbstractQueuedSynchronizer(AQS):构建高性能同步器的基石 - 指南
  • 2025 年清洗机厂家最新推荐:高压清洗机、超声波清洗机等多类型设备企业品牌权威榜单,帮企业高效筛选优质清洗设备
  • 隐藏继承成员什么时候用到
  • 2025 旋转蒸发仪选型指南:适配科研与生产需求的优质厂家 TOP5 推荐
  • 今天被公司告知不续签合同了,我被优化了 哈哈哈
  • 2025 年混合机厂家最新推荐排行榜:强力混合机 / 倾斜式混合机 / 耐火材料混合机 / 锂电池材料混合机 / 球团强力混合机优质厂家推荐
  • Oracle OCM 认证的定位与价值
  • 2025 优质防爆接线盒/防爆穿线盒/防爆接电箱厂家推荐榜:安全与专业兼具的行业之选