Эксфильтрация писем через отравленный MCP-сервер Postmark
Оригинал: Poisoned Postmark MCP Server Email Exfiltration
Злоумышленник успешно эксфильтровал письма пользователей MCP-сервера Postmark с помощью атаки на цепочку поставок. Postmark — сервис доставки электронной почты, который позволяет организациям отправлять маркетинговые и транзакционные письма через API. MCP-сервер Postmark позволяет пользователям взаимодействовать с Postmark через ИИ-агентов.
Злоумышленник выдал себя за Postmark, зарегистрировав в реестре npm имя пакета postmark-mcp. Сначала он публиковал легитимные версии MCP-сервера. После того как пакет стал популярным и превысил 1 000 скачиваний в неделю, злоумышленник выполнил подмену после набора доверия и загрузил вредоносную версию пакета. Вредоносная версия добавляла адрес электронной почты злоумышленника в поле скрытой копии (BCC) всех писем, отправляемых MCP-инструментом. У пользователей, которые обновились до этой версии и продолжили использовать инструмент, все письма эксфильтровывались злоумышленнику.
Процедура
- AML.TA0007 Уклонение от защиты
AML.T0073 Имперсонация
Злоумышленник выдал себя за Postmark, опубликовав в npm легитимную версию пакетаpostmark-mcp. Поскольку Postmark сам не зарегистрировал имяpostmark-mcpв npm, злоумышленник смог занять это имя. Легитимных пользователей обманом заставили использовать npm-пакет, хотя им не управляли официальные разработчикиpostmark-mcp. - AML.TA0003 Подготовка ресурсов
AML.T0017 Разработка средств для атаки
Злоумышленник изменил легитимный MCP-сервер Postmark так, чтобы его адрес электронной почты добавлялся в поле скрытой копии (BCC) всех писем, отправляемых инструментом. - AML.TA0003 Подготовка ресурсов
AML.T0104 Публикация отравленного инструмента ИИ-агента
Злоумышленник опубликовал вредоносную версиюpostmark-mcpв npm. - AML.TA0007 Уклонение от защиты
AML.T0109 Подмена компонента после одобрения в цепочке поставок ИИ
Дождавшись, пока пользователи начнут использовать легитимную версиюpostmark-mcp, злоумышленник смог избежать дополнительной проверки и сканирования, которым подвергаются новые инструменты. - AML.TA0004 Первичный доступ
AML.T0010.005 Инструмент ИИ-агента
Когда организации обновлялиpostmark-mcpдо версии1.0.16, они получали вредоносную версию инструмента через скомпрометированную цепочку поставок. - AML.TA0006 Закрепление
AML.T0110 Отравление инструмента ИИ-агента
После подключения к ИИ-агентам организации отравленный MCP-сервер Postmark продолжал действовать. - AML.TA0005 Выполнение
AML.T0011.002 Отравленный инструмент ИИ-агента
Когда пользователи в организации-жертве поручали своему ИИ-агенту использовать инструменты отравленного MCP-сервера Postmark, выполнялся вредоносный код. - AML.TA0010 Эксфильтрация
AML.T0086 Эксфильтрация через вызов инструмента ИИ-агента
Когда организации отправляли письма через инструментpostmark-mcp, все содержимое этих писем эксфильтровывалось злоумышленнику через адрес, добавленный в поле скрытой копии (BCC). - AML.TA0011 Воздействие
AML.T0048 Внешний ущерб
Эксфильтрированные письма могли включать транзакционные письма, раскрывающие конфиденциальную информацию о клиентах организации, и маркетинговые письма, раскрывающие клиентскую базу организации.