Un acteur malveillant a publié sur npm un package frauduleux nommé « postmark-mcp » se faisant passer pour Postmark, afin de voler des emails via un mécanisme de BCC caché. Postmark précise n’avoir aucun lien avec ce package et que ses API et services officiels ne sont pas affectés.
L’attaquant a d’abord établi la confiance en publiant plus de 15 versions du package, puis a introduit une porte dérobée dans la version 1.0.16 qui ajoutait en BCC les emails à un serveur externe. Cette activité visait à exfiltrer des contenus d’emails envoyés par les utilisateurs du package.
Postmark souligne que ce package n’est pas officiel, qu’il n’a pas publié de serveur MCP Postmark sur npm avant cet incident, et que l’API et les services légitimes de Postmark restent sécurisés et non affectés.
Pour les utilisateurs potentiellement touchés, le message recommande:
- de retirer immédiatement le package de leurs systèmes,
- de vérifier les journaux d’emails pour toute activité suspecte,
- d’envisager de faire pivoter les identifiants qui auraient pu transiter par email durant la période de compromission.
Ressources officielles mentionnées: Postmark MCP officiel (GitHub), documentation API, bibliothèques/SDKs officiels, et canaux de support (contact: security@activecampaign.com). 🚨
IOCs connus:
- Nom du package: postmark-mcp
- Version malveillante: 1.0.16
TTPs observés:
- Usurpation de marque sur npm (impersonation)
- Établissement de confiance via de multiples versions avant l’introduction du backdoor
- Exfiltration de données par BCC vers un serveur externe
Il s’agit d’une alerte visant à informer de l’existence d’un package npm malveillant se faisant passer pour un outil Postmark, et à guider les utilisateurs pour identifier et éliminer ce risque.
🔗 Source originale : https://postmarkapp.com/blog/information-regarding-malicious-postmark-mcp-package