Her yerdeki işletmeler MCP sunucularını kucaklıyor-AI asistanlarına e-posta göndermek, veritabanı sorgularını çalıştırmak ve sıkıcı görevleri otomatikleştirmek için “tanrı modu” izinleri veriyor. Ama hiç kimse sormayı bırakmadı: Bu araçları kim inşa etti? Bugün, ilk gerçek dünyadaki kötü niyetli MCP sunucusu-Postmark-MCP-işlediği her e-postayı sessizce püskürdü.
İlk sürümünden bu yana, Postmark-MCP haftada 1.500 kez indirildi ve yüzlerce geliştirici iş akışına sorunsuz bir şekilde entegre edildi.
1.0.0 ila 1.0.15 sürümleri, hevesli öneriler kazanarak kusursuz bir şekilde çalıştırıldı: “Postmark entegrasyonu için bu harika MCP sunucusuna göz atın.” Sabah kahvesi kadar önemli hale geldi.
Sonra 1.0.16 sürümü geldi. Kodun 231 satırına gömüldü, tek, zararsız görünümlü bir talimattır: her giden e-postayı saldırganın kişisel sunucusuna (giftshop.club) kopyalayan gizli bir BCC. Parola sıfırlamaları, faturalar, dahili notlar, gizli belgeler: Her şeyin artık “istenmeyen bir yolcu” var.
Nasıl yakaladık
KOI’nin risk motoru, 1.0.16 sürümündeki şüpheli davranış değişikliklerini tespit ettikten sonra postmark-mcp’yi işaretledi. Araştırmacılarımız güncellemeyi ayrıştırdı ve BCC enjeksiyonunu keşfetti.
Soğutucu olan şey, saldırganın yöntemidir: ActiveCampaign’ın resmi Github Repo’sundan meşru kod kopyalamak, kötü amaçlı çizgiyi eklemek ve NPM’de aynı paket adı altında yayınlamak. Klasik kimliğe bürünme, bir ihanet çizgisi dışında her ayrıntıda mükemmel.
Haftalık indirmelerin% 20’sini muhafazakar olarak tahmin etmek aktif kullanılmaktadır, kabaca 300 kuruluş tehlikeye atılmaktadır. Her biri günde 10-50 e -posta gönderirse, bu her gün 3.000–15.000 yasadışı pessfiltrasyondur.
Yavaşlama belirtisi yok – geliştiriciler MCP sunucularına ikinci bir düşünce olmadan tam e -posta ve veritabanı erişimi.
Bu saldırıyı özellikle sinsi yapan şey, sadeliğidir. Geliştirici ne sıfır gün istismarları ne de gelişmiş kötü amaçlı yazılım teknikleri gerektiriyordu. Bir topluluk olarak anahtarları teslim ettik:
- Tam otorite ile bizim gibi e -posta gönderin.
- Veritabanlarımıza erişin.
- Sistemlerimizdeki komutları yürütün.
- Kimlik bilgilerimizi kullanarak API çağrıları yapın.
Ve sonra AI asistanlarımızın vahşi koşmasına izin veriyoruz – kum havuzu yok, inceleme yok, muhafaza yok.
MCP’ler neden temelde kırıldı?
MCP sunucuları standart NPM paketlerinden farklıdır: Her komutu sorgulamadan yürüten AI asistanlarıyla entegre edilmiş özerk çalışırlar.
Yapay zekanız gizli bir BCC alanını tespit edemez. Yalnızca “E -posta Gönder – Sakses” görür. Bu arada, her mesaj sessizce sifonlanır.
Yorum istendiğinde, Postmark-MCP’nin yazarı sessiz kaldı-daha sonra kanıtı silmek için paketi NPM’den umutsuz bir teklifle sildi.
Ancak NPM’den silme halihazırda enfekte olmuş sistemleri temizlemez. Haftalık 1.500 kurulum Arka kapıdan habersiz yasadışı sevkiyatlarına devam edin.
Bu sadece bir kötü niyetli geliştirici değil; MCP ekosistemi hakkında bir uyarı çekimi. Aletleri yabancılardan normalleştirdik ve AI asistanlarının onları cezasız kalmasına izin verdik. Her paket, her güncelleme kritik altyapımızın bir parçası haline gelir – bir güne kadar değil.
KOI olarak, bu tehdidi doğrulanmamış MCP sunucularını engelleyen, şüpheli güncellemeleri işaretleyen ve sürekli izlemeyi uygulayan bir tedarik zinciri ağ geçidi ile mücadele ediyoruz.
Geleneksel güvenlik araçlarından farklı olarak, risk motorumuz, hasar verilmeden önce, gizli bir BCC gibi davranışsal anomalileri tespit eder.
Postmark-MCP sürüm 1.0.16 veya üstünü kullanıyorsanız, şimdi kaldırın ve açıkta kalan kimlik bilgilerini döndürün. Ancak bu olay daha geniş bir hesaplama gerektirir: ortamınızdaki her MCP sunucusunu denetleyin. Zor sorular sor: Bu aracı kim inşa etti? Yazarını doğrulayabilir misin? Düzenli güvenlik incelemeleri geçiriyor mu?
MCP sunucuları ile paranoya sadece iyi bir mantıklı. Yabancılara Tanrı modu izinleri verdik; Kör güven değil, doğrulama talep etme zamanı.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.