Wild’da keşfedilen ilk kötü amaçlı model-bağlam-avukat (MCP) sunucusu, truva atlı bir NPM paketi postmark-mcp Bu, hassas verileri kullanıcıların e -postalarından gizlice birleştirdi.
Haftada yaklaşık 1.500 kez indirilen paket, araç tarafından işlenen her e -postayı saldırgan tarafından kontrol edilen bir sunucuya kopyalayan bir arka kapı içeriyordu. Bu olay, AI ile çalışan yazılım tedarik zincirinde önemli ve ortaya çıkan bir tehdidi vurgulamaktadır.
Güvenlik firması KOI analizine göre postmark-mcp Paket, Postmark e-posta hizmetine entegre olmak için bir MCP sunucusu olarak tasarlanmış ve AI asistanlarının e-posta gönderme görevlerini otomatikleştirmesine izin vermiştir.
İlk 15 versiyonu için araç beklendiği gibi işlev gördü, geliştirici topluluğu içinde bir güven temeli oluşturdu ve yüzlerce iş akışına entegre oldu.
Ancak, 1.0.16 sürümünden başlayarak, tek bir kötü amaçlı kod satır eklendi. Bu kod, giden her e -postaya sessizce bir BCC alanı ekleyerek bir kopya göndererek [email protected].
Meydan okulu veriler, şifre sıfırlamalarından ve faturalardan gizli iç iletişimlere kadar her şeyi içeriyordu.
Paketin arkasındaki geliştirici, yerleşik bir GitHub profili ile Paris’ten meşru bir yazılım mühendisi gibi görünüyordu, bu da muhtemelen kötü niyetli paketin şüpheden kaçmasına yardımcı olan bir taktik.
Saldırı klasik bir kimliğe bürünme vakasıydı; Geliştirici, kodu Postmark (ActivECampaign) tarafından resmi olarak korunan meşru bir GitHub deposundan kopyaladı, arka kapıyı enjekte etti ve aynı adla NPM kayıt defterine yayınladı.
KOI, risk motorunun 1.0.16 sürümündeki şüpheli davranış değişikliklerini tespit ettikten sonra paketi işaretlediğini bildirdi. Saldırının sadeliği onu özellikle endişe verici kılan şeydir.
Geliştirici, sıfır günlük bir güvenlik açığından yararlanmadı veya karmaşık bir hackleme tekniği kullanmadı; Açık kaynaklı ekosistemin doğasında var olan güveni kötüye kullandılar.
İlk kötü amaçlı mcp sunucusu bulundu
Bu olay AI ajan araçlarının mimarisinde kritik bir güvenlik açığı ortaya koymaktadır. MCP sunucularına, genellikle e-postalara, veritabanlarına ve API’lere tam erişim ile özerk bir şekilde çalışması için üst düzey izinler verilir.
Geleneksel yazılımlardan farklı olarak, bu araçlar insan incelemesi olmadan görevleri yerine getiren AI asistanları tarafından kullanılır. Yapay zekanın, bir e -postanın gizlice kopyalandığını tespit etmenin hiçbir yolu yoktur, çünkü yalnızca e -postayı göndermenin birincil görevinin başarıyla tamamlandığını doğrular.
Bu, kuruluşlar için büyük bir güvenlik kör noktası yaratır. MCP sunucuları genellikle yerleşik güvenlik çevrelerinin dışında çalışır, veri kaybı önleme (DLP) sistemlerini, satıcı risk değerlendirmelerini ve e -posta ağ geçitlerini atlar.
Tahmini etki önemlidir, hesaplamalar yaklaşık 300 kuruluştan 3.000 ila 15.000 e -postanın günlük olarak eklenebileceğini düşündürmektedir.
İletişim kurulduktan sonra, geliştirici paketi NPM’den sildi. Ancak, bu eylem, uzlaşmış paketi zaten kurulduğu sistemlerden kaldırmaz. 1.0.16 sürümüne sahip herhangi bir kullanıcı veya daha sonra postmark-mcp savunmasız kalır.
Uzlaşma (IOC’ler) ve hafifletme göstergeleri
- Paket:
postmark-mcp(NPM) - Kötü niyetli sürüm: 1.0.16 ve üstü
- Arka kapı e -posta:
phan@giftshop[.]club - İhtisas:
giftshop[.]club
Kullanıcıları postmark-mcp Paketi hemen kaldırmanız ve e -posta yoluyla iletilebilecek kimlik bilgilerini veya hassas bilgileri döndürmeniz istenir.
Bu saldırı, hızla büyüyen MCP ekosistemi ile ilişkili riskler hakkında keskin bir uyarı olarak hizmet eder ve AI ajanları tarafından kullanılan tüm üçüncü taraf araçların sağlam doğrulama ve sürekli izlenmesi ihtiyacını vurgular.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
