افشای سرقت داده‌ها توسط بسته‌ غیررسمی Postmark MCP در npm

یک بسته‌ی npm که نسخه‌ای مشابه از پروژه‌ی رسمی ‘postmark-mcp’ در GitHub بود، در به‌روزرسانی اخیر خود با افزودن تنها یک خط کد، تمامی ارتباطات ایمیلی کاربران را exfiltrate کرده است.

این بسته توسط یک توسعه‌دهنده با ظاهر معتبر منتشر شده و در ۱۵ نسخه‌ی متوالی به‌عنوان یک کپی کامل از نسخه‌ی اصلی، هم از نظر کد و هم توضیحات، ارائه شده و به‌عنوان یک official port در npm نمایش داده شده بود.

Model Context Protocol (MCP) یک استاندارد باز است که به AI assistants اجازه می‌دهد با ابزارها، APIs و پایگاه‌های داده به‌صورت ساختارمند، از پیش تعریف‌شده و امن ارتباط برقرار کنند.

Postmark یک پلتفرم تحویل ایمیل است و Postmark MCP نقش یک MCP server را ایفا می‌کند که قابلیت‌های Postmark را در اختیار AI assistants قرار می‌دهد تا بتوانند به نمایندگی از کاربر یا برنامه اقدام به ارسال ایمیل کنند.

طبق کشف پژوهشگران Koi Security، نسخه‌های این بسته در npm تا ورژن ۱٫۰٫۱۵ پاک و بدون کد مخرب بودند. اما در انتشار ۱٫۰٫۱۶، خطی به کد اضافه شد که تمامی ایمیل‌های کاربران را به یک آدرس خارجی در دامنه‌ی giftshop[.]club، متعلق به همان توسعه‌دهنده، ارسال می‌کرد.

این قابلیت بسیار پرخطر ممکن است منجر به افشای ارتباطات شخصی و حساس، درخواست‌های password reset، کدهای two-factor authentication، اطلاعات مالی و حتی جزئیات مشتریان شده باشد.

نسخه‌ی مخرب در npm به‌مدت یک هفته در دسترس بود و حدود ۱,۵۰۰ downloads ثبت کرد. به‌گفته‌ی محققان Koi Security، این بسته‌ی جعلی ممکن است هزاران ایمیل از کاربران بی‌اطلاع را exfiltrate کرده باشد.

به کاربرانی که postmark-mcp را از npm دانلود کرده‌اند توصیه می‌شود فوراً آن را حذف کرده و تمامی credentials احتمالیِ در معرض خطر را rotate کنند. همچنین لازم است تمامی MCP servers مورد استفاده بررسی و از نظر فعالیت‌های مشکوک پایش شوند.

وب‌سایت BleepingComputer برای اظهارنظر درخصوص یافته‌های Koi Security با ناشر بسته‌ی npm تماس گرفت اما پاسخی دریافت نشد. روز بعد، توسعه‌دهنده بسته‌ی مخرب را از npm حذف کرد.

گزارش Koi Security به یک مدل امنیتی ناقص اشاره می‌کند که در آن servers در محیط‌های حیاتی بدون نظارت یا sandboxing پیاده‌سازی می‌شوند و AI assistants نیز دستورات مخرب را بدون هیچ‌گونه فیلتر رفتاری اجرا می‌کنند.

از آن‌جا که MCPs با سطح دسترسی بسیار بالا اجرا می‌شوند، هرگونه آسیب‌پذیری یا misconfiguration می‌تواند ریسک قابل‌توجهی به همراه داشته باشد.

کاربران باید منبع پروژه را به‌طور دقیق بررسی کرده و اطمینان حاصل کنند که از یک official repository استفاده می‌کنند، همچنین کد منبع و changelogs را بازبینی کرده و در هر به‌روزرسانی، تغییرات را با دقت بررسی نمایند.

پیش از به‌کارگیری نسخه‌های جدید در محیط production، توصیه می‌شود MCP servers در isolated containers یا sandboxes اجرا شده و رفتار آن‌ها به‌ویژه برای اقدامات مشکوک نظیر data exfiltration یا ارتباطات غیرمجاز پایش شود.