Эксфильтрация писем через отравленный MCP-сервер Postmark

Оригинал: Poisoned Postmark MCP Server Email Exfiltration

Злоумышленник успешно эксфильтровал письма пользователей MCP-сервера Postmark с помощью атаки на цепочку поставок. Postmark — сервис доставки электронной почты, который позволяет организациям отправлять маркетинговые и транзакционные письма через API. MCP-сервер Postmark позволяет пользователям взаимодействовать с Postmark через ИИ-агентов.

Злоумышленник выдал себя за Postmark, зарегистрировав в реестре npm имя пакета postmark-mcp. Сначала он публиковал легитимные версии MCP-сервера. После того как пакет стал популярным и превысил 1 000 скачиваний в неделю, злоумышленник выполнил подмену после набора доверия и загрузил вредоносную версию пакета. Вредоносная версия добавляла адрес электронной почты злоумышленника в поле скрытой копии (BCC) всех писем, отправляемых MCP-инструментом. У пользователей, которые обновились до этой версии и продолжили использовать инструмент, все письма эксфильтровывались злоумышленнику.

Процедура

  1. AML.TA0007 Уклонение от защиты

    AML.T0073 Имперсонация

    Злоумышленник выдал себя за Postmark, опубликовав в npm легитимную версию пакета postmark-mcp. Поскольку Postmark сам не зарегистрировал имя postmark-mcp в npm, злоумышленник смог занять это имя. Легитимных пользователей обманом заставили использовать npm-пакет, хотя им не управляли официальные разработчики postmark-mcp.
  2. AML.TA0003 Подготовка ресурсов

    AML.T0017 Разработка средств для атаки

    Злоумышленник изменил легитимный MCP-сервер Postmark так, чтобы его адрес электронной почты добавлялся в поле скрытой копии (BCC) всех писем, отправляемых инструментом.
  3. AML.TA0003 Подготовка ресурсов

    AML.T0104 Публикация отравленного инструмента ИИ-агента

    Злоумышленник опубликовал вредоносную версию postmark-mcp в npm.
  4. AML.TA0007 Уклонение от защиты

    AML.T0109 Подмена компонента после одобрения в цепочке поставок ИИ

    Дождавшись, пока пользователи начнут использовать легитимную версию postmark-mcp, злоумышленник смог избежать дополнительной проверки и сканирования, которым подвергаются новые инструменты.
  5. AML.TA0004 Первичный доступ

    AML.T0010.005 Инструмент ИИ-агента

    Когда организации обновляли postmark-mcp до версии 1.0.16, они получали вредоносную версию инструмента через скомпрометированную цепочку поставок.
  6. AML.TA0006 Закрепление

    AML.T0110 Отравление инструмента ИИ-агента

    После подключения к ИИ-агентам организации отравленный MCP-сервер Postmark продолжал действовать.
  7. AML.TA0005 Выполнение

    AML.T0011.002 Отравленный инструмент ИИ-агента

    Когда пользователи в организации-жертве поручали своему ИИ-агенту использовать инструменты отравленного MCP-сервера Postmark, выполнялся вредоносный код.
  8. AML.TA0010 Эксфильтрация

    AML.T0086 Эксфильтрация через вызов инструмента ИИ-агента

    Когда организации отправляли письма через инструмент postmark-mcp, все содержимое этих писем эксфильтровывалось злоумышленнику через адрес, добавленный в поле скрытой копии (BCC).
  9. AML.TA0011 Воздействие

    AML.T0048 Внешний ущерб

    Эксфильтрированные письма могли включать транзакционные письма, раскрывающие конфиденциальную информацию о клиентах организации, и маркетинговые письма, раскрывающие клиентскую базу организации.

Источники

  1. First Malicious MCP in the Wild: The Postmark Backdoor That's Stealing Your Emails