Добавить в корзинуПозвонить
Найти в Дзене
Цифровая Переплавка
218 подписчиков

🕵️ Postmark-MCP: когда одна строка кода ворует тысячи писем

4
2 мин
В мире безопасности часто говорят о «цепочке поставок» как о слабом звене. Но новость о вредоносном пакете postmark-mcp в npm показала, что с приходом MCP (Model Context Protocol) уязвимость получила новое измерение. Всего одна строка кода превратила полезный инструмент в канал утечки писем сотен организаций. С версии 1.0.16 пакет начал: Снаружи всё выглядело как нормальный модуль для интеграции с Postmark. До этого 15 версий работали идеально, формируя доверие. И это без сложных эксплойтов или 0-day уязвимостей. Всё, что потребовалось — дождаться, пока разработчики сами установят пакет и доверят ему доступ к email-системам. Обычные npm-пакеты вызываются вручную. Но MCP-сервисы — это «руки» ИИ-ассистентов: Фактически мы дали «непроверенным библиотекам» полномочия уровня администратора предприятия. Это не просто очередной инцидент supply-chain атаки. Это демонстрация хрупкости всей модели MCP. Я вижу три главные проблемы: Для меня это сигнал: без обязательного аудита, sandbox-изоляции и
Оглавление
Краткое описание: «редакционный» ночной кадр из офиса безопасности. На ноутбуке — проект Node.js с командой npm install postmark-mcp@1.0.16, рядом в коде подсвечена строчка bcc: phan@giftshop.club. На втором мониторе — панель «MCP Service: postmark-mcp» и предупреждения, подчёркивающие тихую пересылку писем. Атмосфера тревожная: утечка маскируется под обычную интеграцию.
Краткое описание: «редакционный» ночной кадр из офиса безопасности. На ноутбуке — проект Node.js с командой npm install postmark-mcp@1.0.16, рядом в коде подсвечена строчка bcc: phan@giftshop.club. На втором мониторе — панель «MCP Service: postmark-mcp» и предупреждения, подчёркивающие тихую пересылку писем. Атмосфера тревожная: утечка маскируется под обычную интеграцию.

В мире безопасности часто говорят о «цепочке поставок» как о слабом звене. Но новость о вредоносном пакете postmark-mcp в npm показала, что с приходом MCP (Model Context Protocol) уязвимость получила новое измерение. Всего одна строка кода превратила полезный инструмент в канал утечки писем сотен организаций.

⚡ Как это работало

С версии 1.0.16 пакет начал:

  • 📤 автоматически добавлять скрытый BCC-адрес (phan@giftshop.club) ко всем исходящим письмам,
  • 📨 пересылать каждое письмо (от паролей и API-ключей до финансовых отчётов) на внешний сервер giftshop.club,
  • 🕸️ работать в окружении MCP, где AI-ассистент с полными правами «слепо» выполнял команды пакета.

Снаружи всё выглядело как нормальный модуль для интеграции с Postmark. До этого 15 версий работали идеально, формируя доверие.

📊 Масштаб утечки

  • 📦 Пакет скачивали 1500 раз в неделю.
  • 🏢 По оценкам, до 300 организаций могли использовать его в продакшене.
  • 📧 Это 3000–15000 писем в день, уходящих злоумышленнику.

И это без сложных эксплойтов или 0-day уязвимостей. Всё, что потребовалось — дождаться, пока разработчики сами установят пакет и доверят ему доступ к email-системам.

🛠️ Технические детали атаки

  • 🔍 Имитация легитимности: злоумышленник использовал реальное имя и GitHub-профиль с солидным бэкграундом.
  • 🪝 Имперсонация: репозиторий был похож на официальный проект Postmark.
  • Минимализм атаки: добавлен всего один BCC-заголовок в исходящем коде.
  • Отложенная активация: до версии 1.0.15 код был чистым — чтобы набрать доверие.

🤯 В чём особая опасность MCP

Обычные npm-пакеты вызываются вручную. Но MCP-сервисы — это «руки» ИИ-ассистентов:

  • 🤖 AI использует их сотни раз в день, автоматически,
  • 🗝️ они имеют права «god-mode»: доступ к почте, базам данных, API,
  • 🔓 нет sandbox’а, нет проверки, нет оповещений — ассистент просто исполняет.

Фактически мы дали «непроверенным библиотекам» полномочия уровня администратора предприятия.

🤔 Моё мнение

Это не просто очередной инцидент supply-chain атаки. Это демонстрация хрупкости всей модели MCP.

Я вижу три главные проблемы:

  • 🧑‍💻 Человеческий фактор: даже уважаемый разработчик может «сломаться» или быть взломан.
  • 🕳️ Отсутствие прозрачности: никто не видит, что именно делает MCP-пакет внутри.
  • 🛑 Нет барьеров: AI выполняет всё подряд, даже если это очевидная утечка.

Для меня это сигнал: без обязательного аудита, sandbox-изоляции и цифровых подписей MCP-экосистема обречена повторять такие истории.

🚨 Что делать командам

  • ❌ немедленно удалить postmark-mcp v1.0.16+,
  • 🔑 сменить все пароли и ключи, передававшиеся через почту,
  • 📜 настроить аудит MCP-интеграций: проверять, кто имеет доступ к email/БД,
  • 🛡️ использовать supply-chain security шлюзы (SCA, SBOM, мониторинг поведения).

📌 Итог

postmark-mcp — это первый, но явно не последний случай вредоносных MCP-сервисов. Он показывает, что в эпоху AI мы доверяем слишком много слишком быстро. И пока экосистема MCP не обрастёт реальными мерами безопасности, такие бэкдоры будут появляться снова и снова.

🔗 Источники: