Unofficial Postmark MCP npm silently stole users’ emails

作者：Bill Toulas

2025年9月25日 下午04:23

一个仿冒GitHub上官方“postmark-mcp”项目的npm包在最新更新中变更为恶意版本，仅通过添加一行代码就能窃取所有用户的邮件通信。

该恶意包由看似合法的开发者发布，在代码和描述方面与正版完全一致，在npm上伪装成官方移植版本长达15个版本迭代。Model Context Protocol（MCP）是一个开放标准，允许AI助手以结构化、预定义和安全的方式与外部工具、API和数据库交互。

Postmark是一个邮件投递平台，Postmark MCP是向AI助手暴露Postmark功能的MCP服务器，允许它们代表用户或应用程序发送邮件。

Koi Security研究人员发现，该npm恶意包在1.0.15及之前的所有版本都是干净的，但在1.0.16版本中，添加了一行将用户所有邮件转发至同一开发者关联的外部地址giftshop[.]club的代码。


这种极高风险的功能可能已暴露个人敏感通信、密码重置请求、双因素认证码、财务信息甚至客户详细信息。

npm上的恶意版本存在约一周时间，记录了约1,500次下载。据Koi Security估计，该仿冒包可能已从不知情用户处窃取了数千封邮件。

对于从npm下载postmark-mcp的用户，建议立即移除该包并轮换任何可能暴露的凭证。同时，审计所有正在使用的MCP服务器并监控其可疑活动。

BleepingComputer已联系npm包发布者询问Koi Security的发现，但未收到回复。次日，开发者从npm移除了该恶意包。


Koi Security的报告指出了一个存在缺陷的安全模型：服务器在关键环境中未经监督或沙箱化即被部署，且AI助手执行恶意命令时未过滤恶意行为。

由于MCP以极高权限运行，任何漏洞或错误配置都会带来重大风险。

用户应验证项目来源并确保其为官方仓库，审查源代码和变更日志，仔细检查每次更新的变化。在生产环境使用新版本前，应在隔离容器或沙箱中运行MCP服务器，并监控其是否存在数据外泄或未授权通信等可疑行为。