Siber güvenlik araştırmacıları, vahşi doğada tespit edilen bir model bağlam protokolü (MCP) sunucusunun ilk örneği olarak tanımlandığını keşfettiler ve yazılım tedarik zinciri risklerini artırdılar.
KOI Security’ye göre, meşru görünümlü bir geliştirici, bir NPM paketinde haydut kodda kaymayı başardı “Postmark-MCP“Aynı adı taşıyan resmi bir Postmark Labs kütüphanesini kopyaladı. Kötü niyetli işlevsellik, 17 Eylül 2025’te yayınlanan 1.0.16 sürümünde tanıtıldı.
GitHub’da bulunan gerçek “Postmark-MCP” kitaplığı, kullanıcıların e-posta göndermelerine, e-posta şablonlarına erişmesine ve kullanmasına ve yapay zeka (AI) asistanlarını kullanarak kampanyaları izlemesine izin vermek için bir MCP sunucusu ortaya çıkarır.
Söz konusu NPM paketi o zamandan beri 15 Eylül 2025’te depoya yükleyen ve 31 paket daha koruyan geliştirici “Phanpak” tarafından NPM’den silindi. JavaScript kütüphanesi toplam 1.643 indirme çekti.
KOI Güvenlik Şefi Teknoloji Sorumlusu Idan Dardikman, “Sürüm 1.0.16’dan beri, her e -postayı geliştiricinin kişisel sunucusuna sessizce kopyalıyor.” Dedi. “Bu, dünyanın gerçek dünyadaki kötü niyetli bir MCP sunucusunun ilk görüşü. Uç noktası tedarik zinciri saldırıları için saldırı yüzeyi yavaş yavaş işletmenin en büyük saldırı yüzeyi haline geliyor.”
Kötü niyetli paket, 1.0.16 sürümünde eklenen tek satırlık bir değişiklik için orijinal kitaplığın bir kopyasıdır ve MCP sunucusunu kullanarak gönderilen her e-postayı e-posta adresine iletir “Phan@Giftshop[.]Kulüp “Bcc’ing tarafından, potansiyel olarak hassas iletişimleri ortaya çıkarır.
Dartikman, “Postmark-MCP arka kapı sofistike değil-utanç verici bir şekilde basit.” Dedi. “Ama tüm bu kurulumun ne kadar tamamen kırıldığını mükemmel bir şekilde gösteriyor. Bir geliştirici. Bir kod satırı. Binlerce binlerce çalıntı e -postaya.”
NPM paketini yükleyen geliştiricilerin, iş akışlarından derhal kaldırılması, e -posta yoluyla ortaya çıkmış olabilecek tüm kimlik bilgilerini döndürmesi ve BCC trafiği için e -posta günlüklerini bildirilen alan adına gözden geçirmeleri önerilir.
Snyk, “MCP sunucuları tipik olarak aracı araç zincirlerinde yüksek güven ve geniş izinlerle çalışır. Bu nedenle, işledikleri veriler hassas olabilir (şifre sıfırlamaları, faturalar, müşteri iletişimi, dahili notlar vb.)” Dedi. “Bu durumda, bu MCP sunucusundaki arka kapı, bu MCP sunucusuna dayanan ajan iş akışları için e -postaları hasat etmek ve dışarı atmak amacıyla inşa edildi.”
Bulgular, tehdit aktörlerinin açık kaynaklı ekosistem ve yeni ortaya çıkan MCP ekosistemiyle ilişkili kullanıcı güvenini nasıl kötüye kullanmaya devam ettiklerini göstermektedir, özellikle de yeterli korkuluklar olmadan iş kritik ortamlarında piyasaya sürüldüklerinde.