MCPサーバーをご存知ですね?AIアシスタントにメール送信、データベースクエリ実行、基本的に手動でやりたくない退屈な作業をすべて処理させる便利なツール。さて、ここが十分に話題にされていない点です:私たちはこれらのツールに神のような権限を与えています。これまで会ったこともない人が作ったツール。それらを検証する方法が全くない人々です。そして私たちのAIアシスタント?単に信頼しているだけです。完全に。
それが私がこれを書いている理由です。postmark-mcp – 毎週1,500回ダウンロードされ、数百の開発者ワークフローに統合されています。バージョン1.0.16以降、開発者の個人サーバーにすべてのメールを静かにコピーしています。パスワードリセット、請求書、内部メモ、機密文書 – すべてについて話しています。
これは実世界の悪意あるMCPサーバーの最初の目撃です。エンドポイントサプライチェーン攻撃の攻撃面は、ゆっくりと企業の最大の攻撃面になっています。
では…私たちのリスクエンジンは何を検出しましたか?
ここが全体の始まりです。Koiのリスクエンジンは、バージョン1.0.16が疑わしい動作の変更をもたらしたときにpostmark-mcpにフラグを立てました。研究者がそれを掘り下げたとき、リスクエンジンがフラグを立てたマルウェアのように、見つけたものは非常に不安なものでした。
紙面上、このパッケージは完璧に見えました。開発者は?パリのソフトウェアエンジニア、本名を使用、正当なプロジェクトで満たされたGitHubプロフィール。これはアニメアバターを持つ怪しげな匿名アカウントではありませんでした。本物の人、本当の評判を持つ人、カンファレンスでコーヒーを飲む可能性のある誰か。
15バージョン – 15個 – ツールは完璧に機能しました。開発者はそれを彼らのチームに勧めていました。「ねえ、Postmark統合のための素晴らしいMCPサーバーをチェックしてください。」それは開発者の日常的なワークフローの一部になりました。朝のコーヒーと同じくらい信頼できるものになりました。
その後バージョン1.0.16がリリースされました。231行目に埋められて、リスクエンジンはこの宝石を見つけました:
1行だけです。そしてブーム – すべてのメールに意図しない乗客がいます。
ここで興味深いのは、公式にPostmark(ActiveCampaign)によって管理されている完全に正当なGitHubリポジトリが同じ名前で存在することです。攻撃者は正当なコードを彼らのリポジトリから取得し、悪意のあるBCC行を追加し、npnのもとで同じ名前で公開しました。古典的な偽装です。
聞いてください。人生は起こるものです。おそらく開発者は経済的な問題に直面しました。おそらく誰かが彼のDMにスライドし、彼が拒否できないオファーをしました。地獄、おそらく彼は単に目を覚まし、「私はこれで逃げられるかな?」と思いました。どの開発者が合法的な開発者から1,500人の信頼するユーザーを裏切ることに突然決めるかを知ることはできません。何が誰かの頭のスイッチをそれで反転させるか – 何が合法的な開発者を作り、彼らはそれで自分たちが信頼する1,500人のユーザーを裏切ることを決めるか。我々は決して本当に知ることはできません。
しかし、それはまさにポイントです。我々は知ることができません。予測することはできません。そしてそれが起こるとき?ほとんどのうちにそれはあまりにも遅くなるまで気づきません。最新の企業にとって、問題はさらに深刻です。セキュリティチームが従来の脅威とコンプライアンスフレームワークに焦点を当てると、開発者はAIツールを独立して採用しており、確立されたセキュリティ境界の外で完全に動作します。これらのMCPサーバーはAIアシスタント自体と同じ権限で実行されます – 完全なメールアクセス、データベース接続、API権限 – ただしそれらはアセットインベントリに表示されず、ベンダーリスク評価をスキップし、DLPから電子メールゲートウェイまでのすべてのセキュリティコントロールをバイパスします。誰かがAIアシスタントが数ヶ月間静かに外部サーバーにメールをBCCしてきたことに気付く時間までに、損害はすでに壊滅的です。
影響について話しましょう
さて、ここで実際に何を見ているのかについて説明する間、私に我慢してください。
MCPサーバーをインストールします。あなたのAIにメールを処理させたいからです、そうですか?合理的に見えます。時間を節約します。生産性を向上させます。すべてのそのようなもの。しかし、あなたが実際にしていることは、これまで会ったことのない誰かにあなたの電子メール全体のフローの完全な制御を与えています。
私たちは影響を推測することしかできません:
- 毎週1,500回ダウンロード
- 保守的に、おそらく20%が積極的に使用されています
- それは約300の組織です
- それぞれおそらく毎日10-50のメールを送信していますか?
- 私たちはgiftshop.clubに毎日3,000から15,000のメールが流れている状態について話しています
そして本当に混乱している部分は?開発者は何もハックしませんでした。ゼロデイを悪用しませんでした。洗練された攻撃ベクトルを使用しませんでした。文字通り、彼にキーを渡し、「ここに、完全な権限でこのコードを実行してください」と言い、AIアシスタントに1日に数百回それを使用させました。私たちは自分たちでこれをしました。
私は今、長年セキュリティに取り組んでいます。そしてこの特定の問題は私を夜間に目覚めさせています。どういうわけか、見ず知らずの人々からのツールをインストールしてから完全に正常なことを受け入れたことがあります:
- 私たちの代わりにメールを送信する(私たちの完全な権限で)
- 私たちのデータベースにアクセス(はい、すべて)
- 私たちのシステムでコマンドを実行
- 私たちの認証情報でAPI呼び出しを行う
そしてそれをインストールしたら?あなたのAIアシスタントはタウンを回っています。レビュープロセスなし。「ねえ、giftshop.clubにBCCを付けてこのメールを送信すべきですか?」いいえ。盲目的で自動化された実行。何度も。1日に数百回。
ここでセキュリティモデルは文字通りありません。サンドボックス。封じ込め。何もありません。ツールが「このメールを送信」と言った場合、AIはそれを送信します。「ああ、すべてをこのランダムなアドレスにもコピーする」と言った場合、AIはそれも行います。疑問の余地はありません。
postmark-mcpバックドアは洗練されていません – それは恥ずかしいほど単純です。しかし、この全体の設定がどれほど完全に壊れているかを完璧に示しています。1人の開発者。1行のコード。数千人の盗まれたメール。
攻撃タイムライン
フェーズ1:正当なツールを構築
バージョン1.0.0から1.0.15は完璧に機能します。ユーザーはパッケージを信頼します。
フェーズ2:1行を追加
バージョン1.0.16でBCCを追加します。他に何も変わりません。
フェーズ3:利益
後部座席に座り、パスワード、APIキー、財務データ、顧客情報を含むメールがgiftshop.clubに流れるのを見ます。
このパターンは私を絶対にテラ化します。ツールは数ヶ月間完全に合法的なものになります。本番環境でバトルテストされます。ワークフローに不可欠になります。あなたのチームがそれに依存しています。そしてある日 – バム – それはマルウェアです。バックドアが活性化されるまでに、それはランダムなパッケージではもうありません。それは信頼できるインフラストラクチャです。
そしてgiftshop.club?それは開発者の別のサイドプロジェクトである可能性があります。しかし、今はそれは非常に異なる種類のギフトを収集しています。あなたのメールはギフトです。
開発者に説明を求めたとき、沈黙を得ました。説明なし。否定なし。何もありません。しかし彼は行動を起こしました – 単なる種類ではありませんでした。彼はすぐにnpmからパッケージを削除し、証拠を消去しようとしました。
しかし、ここにある:npmからパッケージを削除してもそれはすでにインストールされているマシンからそれを削除しません。1,500の毎週のダウンロードのそれぞれ?彼らはまだ危険にさらされています。まだgiftshop.clubにBCCを送信しています。開発者はこれを知っています。彼はパッケージがnpmから消えたとしても受信者がまだ感染していることに気付かないことに銀行をしています。
MCPの全モデルが基本的に壊れている理由
私が本当に明確にする必要があること:MCPサーバーは通常のnpmパッケージのようではありません。これらはAIアシスタントが自律的に使用するために特別に設計されたツールです。それは全くポイントです。
postmark-mcpをインストールすると、単に依存関係をpackage.jsonに追加しているわけではありません。AIアシスタントに、何度も自動的に使用する道具を与えています。考えることを止めることなく、「うーん、ここで何か間違っていますか?」
AIはそのBCCフィールドを検出することはできません。メールが盗まれていることに気付きません。それが見るのはすべて機能的なメールツールです。メールを送信します。成功します。別のメールを送信します。成功します。一方、すべてのメッセージが静かに流出しています。日々。週ごと。
postmark-mcpバックドアは単なる1つの悪意のある開発者または1,500の毎週危険にさらされたインストールについてではありません。それはMCPエコシステム自体についての警告ショットです。
私たちは知らない人が作ったツール、検証できない人、信頼する理由がない人に神のような権限を与えています。これらは単なるnpmパッケージではありません – AIアシスタントが質問なく何千回も使用するため、最も機密の操作への直接パイプラインです。
バックドアは、あなたがこれを読んでいる間もメールを積極的に収穫しています。我々はnpmに報告しましたが、ここで恐ろしい質問があります:他に何個のMCPサーバーが既に危険にさらされていますか?どのようにしてあなたは知ることができますか?
Koiでは、MCPエコシステムに組み込まれたセキュリティモデルがないため、パッケージの動作の変更を検出します。匿名の開発者にAIの機能を信頼している場合、信仰ではなく検証が必要です。リスクエンジンは、バージョン1.0.16がBCC動作をもたらした瞬間にこのバックドアを自動的に検出しました – 従来のセキュリティツールがフラグを立てないもの。しかし検出は最初のステップです。当社のサプライチェーンゲートウェイは、このようなマルウェアパッケージが環境に到達しないようにします。これは、開発者とnpm、MCPサーバー、ブラウザ拡張機能のワイルドウェスト間のチェックポイント – 既知の脅威をブロック、疑わしい更新にフラグを付け、メールやデータベースアクセスなど機密操作に触れるパッケージに対して承認が必要です。他の誰もが彼らの開発者が良い選択をすることを望んでいる間に、彼らが検証された継続的に監視されたオプションからしか選ぶことができないことを確認しています。
バージョン1.0.16以降のpostmark-mcpを使用している場合、危険にさらされています。すぐにそれを削除し、メール経由で露出された可能性のある認証情報をローテーションします。しかし、さらに重要なことに、使用しているすべてのMCPサーバーを監査します。自分自身に聞いてください:これらのツールを構築した人のことを本当に知っていますか?すべてを信頼しています?
妄想のままでいてください。MCPでは、妄想は単なる良い感覚です。
IOC
パッケージ: postmark-mcp(npm)
悪意のあるバージョン: 1.0.16以降
バックドアメール: phan@giftshop[.]club
ドメイン: giftshop[.]club
検出:
- メールログでgiftshop.clubへのBCCヘッダーを確認
- MCPサーバー構成で予期しないメールパラメータをモニタ
- postmark-mcpのバージョン1.0.16+のnpmパッケージを確認
軽減:
- すぐにpostmark-mcpをアンインストール
- 妥協期間中にメール経由で送信された認証情報をローテーション
- 流出された可能性のある機密データについてメールログを監査
- 確認されたブリーチを適切な当局に報告
翻訳元: https://www.koi.ai/blog/postmark-mcp-npm-malicious-backdoor-email-theft
