Los investigadores de ciberseguridad han descubierto lo que se describe como la primera instancia de un servidor de protocolo de contexto modelo (MCP) descubierto en la naturaleza, lo que aumenta el riesgo de la cadena de suministro de software.
Según KOI Security, los desarrolladores de aspecto legal pudieron deslizar un código malformado dentro de un paquete NPM llamado «Postmark-MCP», que copió la biblioteca oficial de Mastaclark Labs del mismo nombre. La característica maliciosa se introdujo en la versión 1.0.16, lanzada el 17 de septiembre de 2025.
La biblioteca real «Mark-MCP» disponible en GitHub permite a los usuarios exponer a los servidores MCP para enviar correos electrónicos, acceder y usar plantillas de correo electrónico y rastrear campañas utilizando asistente de inteligencia artificial (IA).
El desarrollador «Phanpak» eliminó el paquete NPM en cuestión y se cargó al repositorio el 15 de septiembre de 2025, manteniendo otros 31 paquetes. La Biblioteca JavaScript ha recopilado un total de 1,643 descargas.
«Desde la versión 1.0.16, hemos copiado en silencio todos los correos electrónicos a los servidores personales de los desarrolladores», dijo Idan Dardikman, director de tecnología de KOI Security. «Este es el primer avistamiento del mundo de un servidor MCP malicioso del mundo real. La superficie de ataque de los ataques de la cadena de suministro de punto final se está convirtiendo gradualmente en la mayor superficie de ataque para la empresa».
El paquete malicioso es una réplica de la biblioteca original y guarda una línea de cambios agregados a la versión 1.0.16. Esto publicará potencialmente todos los correos electrónicos enviados utilizando el servidor MCP a la dirección de correo electrónico «Phan@Giftshop (.) Club» a BCC’ing » por.
«La puerta trasera del MCP no es refinada. Es vergonzosamente simple», dijo Dardikman. «Pero muestra perfectamente cuán completamente rota está toda esta configuración. Un desarrollador. Una línea de código. Con miles de correos electrónicos robados».
Se recomienda a los desarrolladores que han instalado el paquete NPM para eliminarlo del flujo de trabajo de inmediato, rotar cualquier credencial que pueda haber sido publicada por correo electrónico y verificar los registros de correo electrónico del tráfico BCC al dominio informado.
«Los servidores MCP generalmente se ejecutan con alta confianza y una amplia gama de privilegios dentro de la cadena de herramientas del agente. Es por eso que son sensibles a los datos que procesan (la contraseña restablece, las facturas, las comunicaciones del cliente, las notas internas, etc.), dijo Snyk». En este caso, el trasero de este servidor de MCP se construyó con la intención de recargar y eliminar correos electrónicos que trabajan por el trabajo del agente de este agente de este agente.
Los resultados muestran cómo los actores de amenaza continúan explotando la confianza del usuario asociada con el ecosistema de código abierto y el ecosistema de MCP temprano, especialmente cuando se implementan en un entorno empresarial crítico sin las barandillas adecuadas.
Source link
