Selon KOI Security, des chercheurs ont mis au jour le premier serveur MCP malveillant connu, dissimulé dans le package npm postmark-mcp (v1.0.16). Le composant est téléchargé env. 1 500 fois par semaine et a opéré légitimement pendant 15 versions avant l’introduction d’une porte dérobée.
🛑 Le package contient une porte dérobée à une seule ligne (ligne 231) qui ajoute en BCC le destinataire ‘phan@giftshop.club’ à tous les e-mails, entraînant une exfiltration systématique vers un serveur contrôlé par l’attaquant (giftshop.club). L’attaque exploite l’architecture Model Context Protocol (MCP), où des assistants IA peuvent exécuter automatiquement du code serveur tiers sans validation, ouvrant une nouvelle surface d’attaque pour des compromissions de chaîne d’approvisionnement.
🔍 Sur le plan technique, le développeur a bâti une apparence de confiance au fil de 15 versions légitimes avant d’introduire la fonctionnalité malveillante en v1.0.16. Le mécanisme d’exfiltration repose sur l’ajout transparent d’un champ BCC à chaque envoi, rendant l’activité difficile à détecter sans contrôles ciblés.
🧭 Détection et remédiation (selon l’article) :
- Détection : surveiller les en-têtes BCC inattendus et auditer les configurations des serveurs MCP.
- Mitigation : suppression immédiate du package, rotation des identifiants, et analyse des journaux e-mail pour tracer l’exfiltration.
IOC(s) observés :
- Domaine : giftshop.club
- Adresse e-mail : phan@giftshop.club
- Package compromis : postmark-mcp v1.0.16
TTP(s) mis en évidence :
- Compromission de la chaîne d’approvisionnement via un package npm
- Introduction différée d’un code malveillant après des versions légitimes (établissement de confiance)
- Exfiltration par BCC e-mail
- Abus de l’écosystème MCP avec exécution automatique de code par des assistants IA
Type d’article et objectif : analyse de menace visant à documenter une compromission de package npm ciblant l’écosystème MCP et ses risques d’exfiltration d’e-mails.
🧠 TTPs et IOCs détectés
TTPs
[‘Compromission de la chaîne d’approvisionnement via un package npm’, ‘Introduction différée d’un code malveillant après des versions légitimes (établissement de confiance)’, ‘Exfiltration par BCC e-mail’, ‘Abus de l’écosystème MCP avec exécution automatique de code par des assistants IA’]
IOCs
{‘domaine’: ‘giftshop.club’, ‘adresse e-mail’: ‘phan@giftshop.club’, ‘package compromis’: ‘postmark-mcp v1.0.16’}
🔗 Source originale : https://www.koi.security/blog/postmark-mcp-npm-malicious-backdoor-email-theft