Ajan AI, Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Gelişim
Backdoed NPM Modülü, Tehdit Oyuncularına Hassas Posta Kopyaları Gönderdi
Rashmi Ramesh (Rashmiramesh_) •
30 Eylül 2025
Çok sabırlı bir hacker, yapay zeka temsilcilerini bir e -posta platformuna bağlayan yüzlerce geliştirici iş akışına entegre güvenilir bir araç oluşturarak kurbanları bağladı. Kimliği belirsiz yazılım mühendisi, KOI’den araştırmacılar, kullanıcıların e -postalarını kişisel sunucusuna kopyalayan kod kopyalayana kadar 15 “kusursuz” sürüm yayınladı.
Ayrıca bakınız: Kavram kanıtı: AI ajanlarının yaşı için kimliği yeniden düşünmek
Paketin 16 versiyonu, kodun 231 satırında gizli bir BCC talimatı tanıttı ve tüm e -postaların kopyalarını [email protected].
Olay, bilgisayar korsanlarının kendilerini kendi uygulamalarına katladıkları umuduyla kötü niyetli ancak meşru görünümlü paketler yüklediği NPM JavaScript Çalışma Zamanı Çevre Kodu deposunda meydana gelen bir tedarik zinciri hacklerinin aşırı bir versiyonudur (bkz: bkz: Shai Hulud NPM Deposuna Yürüyüş).
“Belki geliştirici finansal sıkıntılara çarptı. Belki birisi reddedemediği bir teklifle DM’lerine kaymıştı. Cehennem, belki bir gün uyandı ve ‘bundan kurtulup kaçamayacağımı merak ediyorum’ diye düşündü.
Paket, postmark-mcpmuhtemelen zehirlenmiş bir model bağlam protokol sunucusunun halka açık olarak belgelenmiş örneğidir. MCP sunucuları, chatgpt veya claude gibi AI uygulamalarını harici hizmetler ve veritabanlarına bağlar. Bu durumda, postmark-mcp AI asistanlarının, şifre sıfırlamaları, hesap onayları ve faturalandırma bildirimleri dahil olmak üzere Postmark aracılığıyla işlem e -postaları göndermelerini sağladı. Bu sunucular genellikle geniş izinlerle çalışır, böylece tek bir değişiklik sistemik risk oluşturabilir.
Koi, yaklaşık 1.500 kuruluşun paketi indirdiğini tahmin etti. Sadece beşte biri konuşlandırsa bile, yaklaşık 300 kuruluş hala saldırgana duyarlı e -postaları yönlendiriyor olabilir ve kullanıma bağlı olarak, tehlikeye atılan e -postaların sayısı günde binlerce değişebilir. Dardikman, “Parola sıfırlamaları, faturalar, dahili notlar, gizli belgeler – her şeyden bahsediyorum.”
“Kelimenin tam anlamıyla anahtarları verdik, ‘Burada, bu kodu tam izinlerle çalıştırın’ ve AI asistanlarımızın günde yüzlerce kez kullanmasına izin verdik. Bunu kendimize yaptık,
Hacker, GitHub deposundan meşru kod aldı, BCC hattını ekledi ve paketi temiz sürümle aynı adı kullanarak NPM deposuna yayınladı. Paket NPM’den kaldırıldı, ancak onu kuran sistemler risk altında kalıyor.
Binlerce kuruluş, genellikle diğer kurumsal yazılımlara uygulanan aynı veteriner olmadan AI entegrasyonlarını kolaylaştırmak için MCP sunucularını kullanır. Tenable ve JFrog’daki araştırmacılar, yakın zamanda MCP bileşenlerinde geliştirici makinelerinde uzaktan kod yürütülmesine izin verebilecek kritik kusurlar bildirdiler.
“Paranoyak kalın. MCP’lerle paranoya sadece iyi bir mantıklı,” dedi Dardikman.