HackerNews 编译,转载请注明出处:
网络安全研究人员发现了据称是全球首例在实际环境中被检测到的恶意模型上下文协议(Model Context Protocol,简称 MCP)服务器,这一发现加剧了软件供应链面临的风险。
据 Koi 安全公司透露,一名伪装成合法开发者的人员,在一个名为 “postmark-mcp” 的 npm 包中植入了恶意代码。该恶意包与 Postmark Labs 官方同名库高度相似,其恶意功能从 2025 年 9 月 17 日发布的 1.0.16 版本开始植入。
而 GitHub 上的正版 “postmark-mcp” 库,其功能是提供一个 MCP 服务器,供用户发送电子邮件、获取并使用电子邮件模板,以及通过人工智能(AI)助手跟踪营销活动。
涉事的 npm 包已被开发者 “phanpak” 从 npm 平台删除。该开发者于 2025 年 9 月 15 日将该包上传至 npm 仓库,此外还维护着其他 31 个包。这个 JavaScript 库在被删除前,累计被下载了 1643 次。
Koi 安全公司首席技术官伊丹・达迪克曼(Idan Dardikman)表示:“自 1.0.16 版本起,这个包就一直在暗中将每封电子邮件复制到开发者的私人服务器上。这是全球首次发现现实环境中的恶意 MCP 服务器。终端供应链攻击的攻击面正逐渐成为企业面临的最大攻击面。”
该恶意包是对正版库的仿制品,唯一区别是在 1.0.16 版本中添加了一行代码 —— 这行代码会通过 “密送(BCC)” 方式,将所有通过该 MCP 服务器发送的电子邮件转发至邮箱地址 “phan@giftshop [.] club”,这一行为可能导致敏感通信内容泄露。
达迪克曼指出:“postmark-mcp 中的后门并不复杂,甚至简单到令人尴尬。但它完美地证明了整个生态体系的漏洞有多严重:一名开发者、一行代码,就能导致成千上万封邮件被窃取。”
研究人员建议已安装该 npm 包的开发者,立即从工作流程中移除该包,更换所有可能通过电子邮件泄露的凭证,并检查电子邮件日志,确认是否存在向上述域名发送密送邮件的记录。
Snyk 公司(注:知名应用安全公司)表示:“MCP 服务器通常在代理工具链中拥有较高信任度和广泛权限。因此,它们处理的所有数据都可能具有敏感性,例如密码重置邮件、发票、客户沟通记录、内部备忘录等。在本次事件中,这个 MCP 服务器中的后门被设计用于收集并窃取依赖该 MCP 服务器的智能代理工作流(agentic workflows)所产生的电子邮件。”
此次事件表明,威胁 actors(注:指从事网络攻击等恶意活动的个人或组织)仍在利用开源生态系统以及新兴的 MCP 生态系统中的用户信任谋取私利,尤其当这些系统在缺乏足够安全防护措施的情况下,被部署到企业关键业务环境中时,风险更为突出。
消息来源:thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
