Selon Koi Security, des chercheurs ont identifié un deuxième package serveur MCP malveillant en une semaine, révélant une menace grandissante de chaîne d’approvisionnement visant les outils de développement IA. Le package npm @lanyer640/mcp-runcommand-server, d’abord publié comme légitime, a été ultérieurement armé tout en conservant ses fonctionnalités pour gagner la confiance et contourner les tests.

Le package implémente une architecture à double porte dérobée: (1) un hook preinstall s’exécutant lors de npm install/npx qui ouvre immédiatement un shell inversé vers 45.115.38.27:2333 ; (2) une backdoor runtime qui, au lancement du serveur MCP, génère un shell interactif caché avec connexion TCP persistante. Malgré ces capacités, la fonctionnalité légitime de run_command est maintenue pour échapper à la détection.

La chronologie montre une publication légitime (v1.0.0) le 6 septembre 2025, puis l’injection du code malveillant en v1.0.6 le 30 septembre 2025, après avoir accumulé des centaines d’installations. Cette redondance (installation et exécution) vise à assurer le compromis même si des contrôles bloquent les scripts preinstall.

🚩 IOCs

  • Package: @lanyer640/mcp-runcommand-server
  • Versions affectées: 1.0.6 et ultérieures
  • C2: 45.115.38.27
  • Port: 2333

🛠️ TTPs observées

  • Attaque de chaîne d’approvisionnement via compromis de package npm
  • Hook preinstall exécutant un shell inversé
  • Backdoor runtime avec shell interactif caché et persistance TCP
  • Évasion par maintien des fonctionnalités légitimes du serveur MCP
  • Redondance pour contourner d’éventuels blocages des scripts d’installation

Type d’article: analyse de menace visant à documenter un package npm compromis ciblant l’écosystème MCP et à partager des IOCs.

🧠 TTPs et IOCs détectés

TTPs

[‘Attaque de chaîne d’approvisionnement via compromis de package npm’, ‘Hook preinstall exécutant un shell inversé’, ‘Backdoor runtime avec shell interactif caché et persistance TCP’, ‘Évasion par maintien des fonctionnalités légitimes du serveur MCP’, ‘Redondance pour contourner d’éventuels blocages des scripts d’installation’]

IOCs

{‘package’: ‘@lanyer640/mcp-runcommand-server’, ‘versions_affectées’: ‘1.0.6 et ultérieures’, ‘c2’: ‘45.115.38.27’, ‘port’: ‘2333’}

🔗 Source originale : https://www.koi.security/blog/mcp-malware-wave-continues-a-remote-shell-in-backdoor

🖴 Archive : https://web.archive.org/web/20250930200533/https://www.koi.security/blog/mcp-malware-wave-continues-a-remote-shell-in-backdoor