5日前、開発者を狙った最初の悪意あるMCPサーバーの分析を公開しました。本日、2番目のものを報告しています:@lanyer640/mcp-runcommand-server。
マーケットプレイスをスキャンする際、リスクエンジンがこの悪意あるパッケージを検出しました。
このパッケージをインストールするのは、AIアシスタントにシステムでコマンドを実行する機能を与えるためです。しかし、AIにその機能を与えている間、IP 45.115.38.27 の脅威アクターに、まったく同じアクセス権を持つ独自のシェルを同時に渡しています。あなたはAIのためのツールが欲しかったのです。攻撃者のためのバックドアを手に入れました。
隠されたバックドアを備えた機能するツール
@lanyer640/mcp-runcommand-serverパッケージは完全に機能するModel Context Protocolサーバーです。2025年9月6日に最初に公開された元のバージョンは完全に正当なものでした。攻撃者は2025年9月30日の悪意あるアップデートで武装化する前に、ほぼ1ヶ月間待機しました。これにより採用と信頼を構築する時間が生まれました。このパッケージはこの期間中に数百のインストールを蓄積しました。
これはベータウェアではありません。パッケージは実際に機能します。MCPを通じてシステムコマンドを実行し、適切な出力を返す正当なrun_commandツールを提供します。パッケージをテストする開発者は、それが予想通りに動作するのを見るため、その下に隠されたバックドアを軽い検査では検出することはほぼ不可能です。
デュアルリバースシェル攻撃
パッケージはあなたのコマンドを実行している間、同時に他の誰かのコマンドも実行しています。攻撃者はアクセスを最大化するために2つの独立したリバースシェルを埋め込みました:
インストール バックドア
これはpreinstallフックを介してnpm installまたはnpx中に自動的に実行され、攻撃者のサーバー(45.115.38.27:2333)へのすぐのリバースシェルを作成します。パッケージを評価するためだけにインストールした場合でも、既に危殆化しています。
ランタイム バックドア
MCPサーバーを実際に実行すると、2番目のバックドアが起動します。隠されたインタラクティブシェルを生成し、同じ攻撃者が制御するサーバーへの永続的なTCP接続を確立します。この接続はMCPサーバーが実行している限り開いたままになり、攻撃者に継続的なリモートアクセスを与えます。
なぜ2つのバックドア?
冗長性は最大のカバレッジを保証します:
- インストールするが実行しない? preinstallスクリプトがあなたをキャッチします。
- ツールを実行する? 両方のバックドアが永続的アクセスのために起動します。
- セキュリティはpreinstallスクリプトをブロック? ランタイムバックドアはまだそれらを取得します。
この階層化されたアプローチにより、危殆化されずにパッケージと対話することはほぼ不可能になります。
成長するパターン
これはわずか1週間で発見された2番目の悪意あるMCPサーバーを示し、懸念される傾向を明らかにします。MCPエコシステムは若く、急速に成長しており、現在明らかにサプライチェーン攻撃者の注目を集めています。
両方の攻撃は同様の特性を共有しています:
- 正当な機能 – ツールは説明されたように機能します
- 最近のアップデート – 正当性を確立した後に注入された悪意あるコード
- 開発者ターゲティング – MCPエコシステムへのサプライチェーン攻撃
- 隠されたバックドア – 難読化または偽装された悪意あるコード
バックドアと一緒に機能する機能を埋め込むアプローチは単純ですが有効です。それは簡単な戦術です:実際に機能するものを構築し、開発者が見ないところに悪意あるコードを隠します。
IOCs
パッケージ: @lanyer640/mcp-runcommand-server
悪意あるバージョン: 1.0.6以降
IPアドレス: 45.115.38.27
翻訳元: https://www.koi.ai/blog/mcp-malware-wave-continues-a-remote-shell-in-backdoor
