恶意npm包通过单行代码窃取数千封邮件

一款冒充Postmark MCP（模型上下文协议）服务器的虚假npm包，通过添加单行代码秘密将外发邮件抄送至攻击者控制的地址，每天可能窃取数千封邮件。

在上周末的一篇博客文章中，Postmark警告用户注意npm上冒充该邮件递送服务并窃取用户邮件的"postmark-mcp"包。

“我们想明确表示：Postmark与此软件包或恶意活动完全无关，“该公司于9月25日表示。“情况是这样的：恶意行为者在npm上创建了一个冒充我们名称的虚假软件包，通过15个版本建立信任，然后在1.0.16版本中添加后门，秘密将邮件密抄送至外部服务器。”

如果你下载了此虚假软件包，Postmark建议立即移除它，检查邮件日志中的可疑活动，并轮换通过邮件发送的任何凭据。

影响范围和后果

虽然我们不知道有多少组织受到此安全事件影响，但Postmark在其网站上宣称拥有"数千家"客户，包括宜家、Asana、Minecraft和1Password。

发现此恶意软件包的Koi Security表示，该包在一周内被下载约1,500次，集成到数百个开发者工作流中，在巴黎开发者移除恶意软件包之前，可能每天窃取数千封邮件。

与此同时，它可能暴露了各种敏感邮件，包括密码重置、多因素认证代码、发票、财务详情、机密商业文档和客户信息。

“postmark-mcp后门不仅仅关乎一个恶意开发者或1,500个每周受感染的安装，“Koi Security联合创始人兼CTO Idan Dardikman上周表示。“这是对MCP生态系统本身的警告。”

Postmark的MCP服务器——发布在GitHub上，而非npm——允许企业的AI助手发送和管理邮件。它使用MCP实现这一功能，这是一种允许AI系统连接到外部工具和数据源的开放协议。此外，自去年推出以来，研究人员反复证明它也是名副其实的安全威胁地雷。

“我们将上帝模式权限交给了我们不了解、无法验证且没有理由信任的人构建的工具，“Dardikman写道。“这些不仅仅是npm包——它们是直接进入我们最敏感操作的管道，由AI助手自动化执行，将毫无疑问地使用它们数千次。”

虽然开发者没有立即回应我们的问题，但情况似乎是：该开发者从Postmark MCP服务器的GitHub仓库获取合法代码，添加了将全部邮件密抄送至"phan@giftshop[.]club"的代码行，并以"postmark-mcp"名称发布到npm，模仿官方GitHub仓库。

Dardikman估计，在每周1,500次下载中，约20%正在使用，约有300个组织使用受感染的MCP服务器每天发送10至50封邮件。

“我们谈论的是每天3,000至15,000封邮件直接流向giftshop.club，“他写道。“真正糟糕的部分是？开发者没有入侵任何东西。没有利用零日漏洞。没有使用复杂的攻击向量。我们实际上把钥匙交给了他，说’给，用完全权限运行这段代码’，并让我们的AI助手每天使用它数百次。”

除了突显MCP服务器固有的安全风险外，这也是另一个例证，说明毒化npm包——或者任何开源软件包仓库——是多么容易，以及其进行大规模供应链攻击的潜力。

仅本月，我们就看到了针对npm包维护者的钓鱼攻击，以及数百个包感染了窃取秘密的恶意软件。

作为回应，拥有JavaScript包npm注册表的GitHub表示正在加强安全措施。这包括缩短安全令牌生命周期，并"在不久的将来"默认切换到强制双因素认证的本地发布。