Investigadores descubrieron lo que podría ser el primer caso real de un servidor MCP (Model Context Protocol) malicioso infiltrado en la cadena de suministro de software. El incidente involucra el paquete npm llamado postmark-mcp, que se hizo pasar por una biblioteca legítima para exfiltrar silenciosamente correos electrónicos.
Infiltración de Servidor MCP: El Ataque postmark-mcp
El ataque es un ejemplo clásico de compromiso de la cadena de suministro a través de la suplantación de identidad de un paquete open source legítimo.
- Paquete Malicioso: El desarrollador “phanpak” subió el paquete postmark-mcp a npm el 15 de septiembre de 2025, imitando una librería real de Postmark Labs.
- Exfiltración Añadida: En la versión 1.0.16 (publicada el 17 de septiembre), se añadió una única línea de código que insertaba un BCC oculto a la dirección phan@giftshop[.]club para cada correo enviado a través del servidor MCP modificado.
- Impacto y Alcance: El paquete fue descargado al menos 1,643 veces antes de ser detectado y eliminado del repositorio.
Importancia y Riesgos de la Falla
Este ataque subraya los riesgos de confiar ciegamente en librerías públicas y la peligrosidad de los nuevos protocolos:
- Compromiso de Datos Sensibles: Los servidores MCP operan con un alto nivel de confianza en contextos automatizados (correo, campañas de marketing, asistencias de IA). Un compromiso permite acceder a datos altamente sensibles, incluyendo comunicaciones privadas, plantillas y contenido de campañas.
- Riesgo de Protocolos Emergentes: Es un ejemplo de cómo la combinación de la confianza en librerías open source y la introducción de nuevos protocolos como MCP, que aún no están bien regulados ni auditados, puede crear vectores de ataque masivos.
- Sigilo: El ataque demuestra que un cambio minúsculo (una sola línea de código) en una dependencia “confiable” puede provocar una exposición masiva de datos que es difícil de detectar por las víctimas.
Recomendaciones
- Revisar y Eliminar el Paquete Comprometido
- Remoción Inmediata: Si utilizas el paquete postmark-mcp o versiones relacionadas, retíralo inmediatamente de tus dependencias de software.
- Verificación: Verifica y utiliza únicamente las versiones compatibles y limpias de las librerías oficiales de Postmark Labs.
- Rotar Credenciales y Auditar Correo
- Cambio de Credenciales: Rotar todas las claves, tokens o credenciales vinculadas con servidores de correo que podrían haber estado en uso con el paquete comprometido.
- Auditoría de Logs: Buscar en los logs de correo cualquier correo enviado con destinatarios ocultos (BCC) que apunten al dominio informado por los atacantes: giftshop[.]club.
- Fortalecer la Cadena de Suministro
- Auditoría de Dependencias: Usar herramientas de escaneo de dependencias (como Snyk o OWASP Dependency Check) para revisar las librerías npm y sus versiones. Buscar especialmente paquetes clonados o aquellos con nombres muy similares a librerías oficiales.
- Control de Versiones: Implementar un proceso para auditar cambios minúsculos en nuevas versiones de librerías de terceros antes de incorporarlas en producción.
- Monitoreo de Tráfico de Salida
- Bloqueo de Dominios: Bloquear el dominio sospechoso (giftshop[.]club) en firewalls y sistemas de filtrado de red.
- Alertas de Conexión: Configurar alertas para detectar conexiones salientes anómalas desde servidores de correo o servidores MCP hacia dominios desconocidos o no autorizados.
