首款恶意MCP服务器被发现通过流氓Postmark-MCP包窃取邮件

网络安全研究人员发现了被描述为迄今为止首个在野外发现的恶意模型上下文协议（MCP）服务器实例，这加剧了软件供应链风险。

根据Koi Security的报告，一名看起来合法的开发者在名为"postmark-mcp"的npm包中悄悄植入了恶意代码，该包复制了同名的官方Postmark Labs库。恶意功能是在2025年9月17日发布的1.0.16版本中引入的。

GitHub上可用的实际"postmark-mcp"库暴露了一个MCP服务器，允许用户发送电子邮件、访问和使用电子邮件模板，并通过人工智能助手跟踪营销活动。

涉事的npm包已被开发者"phanpak"从npm删除，该开发者于2025年9月15日将其上传到存储库，并维护着其他31个软件包。这个JavaScript库总共吸引了1,643次下载。

“从1.0.16版本开始，它一直在悄悄地将每封邮件复制到开发者的个人服务器，“Koi Security首席技术官Idan Dardikman表示。“这是世界上首次发现真实世界的恶意MCP服务器。端点供应链攻击的攻击面正逐渐成为企业最大的攻击面。”

这个恶意包是原始库的复制品，只是在1.0.16版本中添加了一行代码更改，基本上通过密送将使用MCP服务器发送的每封电子邮件转发到电子邮件地址"phan@giftshop[.]club”，可能暴露敏感通信。

“postmark-mcp后门并不复杂——它简单得令人尴尬，“Dardikman说。“但它完美地展示了整个设置是多么的完全崩溃。一个开发者。一行代码。成千上万的被盗邮件。”

建议已安装该npm包的开发者立即从其工作流中删除该包，轮换可能通过电子邮件暴露的任何凭据，并检查电子邮件日志中是否有发送到报告域的密送流量。

“Snyk表示：“MCP服务器通常在代理工具链中以高度信任和广泛权限运行。因此，它们处理的任何数据都可能是敏感的（密码重置、发票、客户通信、内部备忘录等）。在这种情况下，这个MCP服务器中的后门是为了收集和窃取依赖此MCP服务器的代理工作流的电子邮件而构建的。”

这些发现说明了威胁行为者如何继续滥用与开源生态系统和新生的MCP生态系统相关的用户信任来谋取自身利益，特别是当它们在业务关键环境中部署而没有足够的防护措施时。