First Malicious MCP in the Wild: The Postmark Backdoor Stealing Your Emails
8 months ago
- #cybersecurity
- #supply-chain-attacks
- #MCP-servers
- MCP服务器是允许AI助手执行发送邮件、运行数据库查询等任务的工具,但这些服务器通常拥有过高权限。
- 每周下载量达1500次的postmark-mcp包自1.0.16版本起被发现会秘密将所有邮件复制到开发者服务器。
- 该恶意行为由Koi风险引擎检测发现,该系统标记出1.0.16版本中的可疑变更。
- postmark-mcp开发者拥有正规背景和良好声誉,使得这次恶意更新出人意料且难以察觉。
- 攻击仅通过添加一行代码实现,将所有邮件密送至外部服务器,展示了此类攻击的简单高效性。
- 影响范围巨大,估计每天有3000至15000封邮件被窃取至giftshop.club域名。
- MCP生态系统缺乏内置安全机制,导致AI助手会不加质疑地使用被入侵的工具。
- 开发者虽已从npm删除该包,但已安装版本仍存在漏洞持续泄露数据。
- 该事件暴露出在未严格审查情况下,对第三方工具授予敏感权限的普遍信任问题。
- 缓解措施包括卸载postmark-mcp、更新泄露凭证以及审计邮件日志以追踪泄露数据。