Фирма по кибербезопасности Koi Security обнаружила первый в истории вредоносный сервер, работающий по протоколу Model Context Protocol (MCP). Атака была реализована через мошеннический пакет в репозитории npm, что указывает на растущие риски в цепочке поставок программного обеспечения, особенно в зарождающейся экосистеме MCP.
Вредоносный пакет на языке JavaScript носил название
Ответственность за публикацию несет разработчик с ником
Механизм атаки заключался в добавлении всего одной строки кода в легитимную библиотеку. Этот код автоматически пересылал каждую электронную почту, отправленную с использованием MCP-сервера, на личный сервер злоумышленника. Технически это было реализовано путем тайного добавления адреса атакующего в поле «скрытая копия» (BCC) каждого отправляемого письма.
Идан Дардикман, технический директор Koi Security, так прокомментировал ситуацию: «Бэкдор в postmark-mcp не является сложным — он до смешного прост... Но он идеально демонстрирует, насколько вся эта система несовершенна».
Это событие стало «первым в мире случаем обнаружения реального вредоносного MCP-сервера». Оно демонстрирует, как злоумышленники злоупотребляют доверием пользователей к открытому исходному коду и новым технологиям. Согласно анализу компании Snyk, целью атаки был сбор и кража электронных писем из автоматизированных рабочих процессов, которые полагались на данный MCP-сервер.
Компрометация затронула все электронные письма, отправленные через зараженный пакет. Потенциально могли быть раскрыты такие конфиденциальные данные, как запросы на сброс пароля, счета-фактуры, переписка с клиентами и внутренние служебные записки. Это подтверждает, что «поверхность атаки на конечные точки в цепочке поставок постепенно становится самой большой поверхностью атаки для предприятий».
Оригинальная, легитимная библиотека
Разработчикам, которые могли использовать вредоносный пакет, рекомендуется немедленно удалить его из всех своих рабочих процессов. Необходимо также сменить все учетные данные, включая API-ключи и пароли, которые могли быть скомпрометированы через украденные электронные письма. Кроме того, следует провести аудит логов электронной почты для проверки наличия трафика, направленного в скрытой копии на домен злоумышленника.
Изображение носит иллюстративный характер
Вредоносный пакет на языке JavaScript носил название
postmark-mcp и был размещен на платформе npm (Node Package Manager). Он являлся точной копией официальной библиотеки с тем же именем. За время своего существования пакет был загружен 1,643 раза. Вредоносный код содержался в версии 1.0.16, выпущенной 17 сентября 2025 года. Ответственность за публикацию несет разработчик с ником
phanpak, который загрузил пакет в репозиторий npm 15 сентября 2025 года. На его счету числится еще 31 пакет в том же репозитории. После обнаружения уязвимости разработчик удалил postmark-mcp. Механизм атаки заключался в добавлении всего одной строки кода в легитимную библиотеку. Этот код автоматически пересылал каждую электронную почту, отправленную с использованием MCP-сервера, на личный сервер злоумышленника. Технически это было реализовано путем тайного добавления адреса атакующего в поле «скрытая копия» (BCC) каждого отправляемого письма.
Идан Дардикман, технический директор Koi Security, так прокомментировал ситуацию: «Бэкдор в postmark-mcp не является сложным — он до смешного прост... Но он идеально демонстрирует, насколько вся эта система несовершенна».
Это событие стало «первым в мире случаем обнаружения реального вредоносного MCP-сервера». Оно демонстрирует, как злоумышленники злоупотребляют доверием пользователей к открытому исходному коду и новым технологиям. Согласно анализу компании Snyk, целью атаки был сбор и кража электронных писем из автоматизированных рабочих процессов, которые полагались на данный MCP-сервер.
Компрометация затронула все электронные письма, отправленные через зараженный пакет. Потенциально могли быть раскрыты такие конфиденциальные данные, как запросы на сброс пароля, счета-фактуры, переписка с клиентами и внутренние служебные записки. Это подтверждает, что «поверхность атаки на конечные точки в цепочке поставок постепенно становится самой большой поверхностью атаки для предприятий».
Оригинальная, легитимная библиотека
postmark-mcp создана компанией Postmark Labs и доступна на GitHub. Ее цель — предоставить пользователям MCP-сервер для отправки электронных писем, доступа к шаблонам и отслеживания кампаний с помощью ассистентов на базе искусственного интеллекта. Разработчикам, которые могли использовать вредоносный пакет, рекомендуется немедленно удалить его из всех своих рабочих процессов. Необходимо также сменить все учетные данные, включая API-ключи и пароли, которые могли быть скомпрометированы через украденные электронные письма. Кроме того, следует провести аудит логов электронной почты для проверки наличия трафика, направленного в скрытой копии на домен злоумышленника.
