Faux package npm « postmark-mcp » détourne des emails via BCC en usurpant Postmark
Un acteur malveillant a publié sur npm un package frauduleux nommé « postmark-mcp » se faisant passer pour Postmark, afin de voler des emails via un mécanisme de BCC caché. Postmark précise n’avoir aucun lien avec ce package et que ses API et services officiels ne sont pas affectés. L’attaquant a d’abord établi la confiance en publiant plus de 15 versions du package, puis a introduit une porte dérobée dans la version 1.0.16 qui ajoutait en BCC les emails à un serveur externe. Cette activité visait à exfiltrer des contenus d’emails envoyés par les utilisateurs du package. ...