Un paquete npm falso, haciéndose pasar por el servidor MCP (Protocolo de Contexto de Modelo) de Postmark, robaba silenciosamente miles de correos electrónicos al día añadiendo una sola línea de código que copiaba secretamente los mensajes salientes a una dirección controlada por el atacante.

En una entrada de blog a finales de la semana pasada, Postmark advirtió a los usuarios sobre «postmark-mcp» en npm, que suplantaba la identidad del servicio de entrega de correo electrónico y robaba los correos electrónicos de sus usuarios.

«Queremos ser totalmente claros: Postmark no tuvo absolutamente nada que ver con este paquete ni con la actividad maliciosa», declaró la compañía el 25 de septiembre. «Esto es lo que ocurrió: Un agente malicioso creó un paquete falso en npm suplantando nuestro nombre, generó confianza a lo largo de 15 versiones y luego añadió una puerta trasera en la versión 1.0.16 que enviaba correos electrónicos en copia oculta a un servidor externo».

Si descargaste el paquete falso, Postmark recomienda eliminarlo inmediatamente, revisar los registros de correo electrónico para detectar actividad sospechosa y rotar las credenciales enviadas por correo electrónico.

Aunque desconocemos cuántas organizaciones se vieron afectadas por este incidente de seguridad, Postmark presume de tener «miles» de clientes, incluyendo Ikea, Asana, Minecraft y 1Password, en su sitio web. Sin embargo, la compañía declaró tras la publicación que solo conoce a un cliente de Postmark que haya utilizado el paquete afectado, y que sus propios sistemas no sufrieron vulneraciones y permanecen seguros.

Koi Security, empresa que descubrió el paquete malicioso, afirma que se descargó unas 1.500 veces en una semana, se integró en cientos de flujos de trabajo de desarrolladores y probablemente robó miles de correos electrónicos cada día antes de que el desarrollador parisino lo eliminara.

Mientras tanto, es posible que haya expuesto todo tipo de correos electrónicos confidenciales, incluyendo restablecimientos de contraseñas, códigos de autenticación multifactor, facturas, información financiera, documentos comerciales confidenciales e información de clientes.

El servidor MCP de Postmark, publicado en GitHub, no en npm, permite a los asistentes de inteligencia artificial de las empresas enviar y gestionar correos electrónicos.

Esto se logra mediante MCP, un protocolo abierto que permite a los sistemas de IA conectarse a herramientas externas y fuentes de datos. Además, como los investigadores han demostrado repetidamente desde su lanzamiento el año pasado, también es un verdadero campo de batalla contra las amenazas de seguridad.

«Estamos otorgando permisos de acceso restringido a herramientas creadas por personas que no conocemos, no podemos verificar y en las que no tenemos motivos para confiar», escribió Dardikman. «No se trata solo de paquetes npm, sino de canales directos a nuestras operaciones más sensibles, automatizados por asistentes de IA que los usarán miles de veces sin que nadie los cuestione».

Enviamos un correo electrónico al desarrollador y no recibimos respuesta inmediata a nuestras preguntas.

Sin embargo, parece que el desarrollador tomó el código legítimo del repositorio de GitHub del servidor MCP de Postmark, añadió la línea de código para enviar en copia oculta todos los correos electrónicos a «phan@giftshop[.]club» y la publicó en npm con el nombre «postmark-mcp» para imitar el repositorio oficial de GitHub.

Dardikman estima que, de las 1.500 descargas semanales, alrededor del 20% están en uso, y calcula que unas 300 organizaciones utilizan el servidor MCP infectado para enviar entre 10 y 50 correos electrónicos al día.

«Hablamos de entre 3.000 y 15.000 correos electrónicos diarios que llegan directamente a giftshop.club», escribió. ¿Y la parte realmente problemática?. El desarrollador no hackeó nada. No explotó una vulnerabilidad de día cero. No usó ningún vector de ataque sofisticado. Literalmente le entregamos las claves, le dijimos: «Toma, ejecuta este código con todos los permisos» y dejamos que nuestros asistentes de IA lo usaran cientos de veces al día.

Además de destacar los riesgos de seguridad inherentes a los servidores MCP, este es otro ejemplo de lo fácil que es envenenar paquetes npm (o, en realidad, cualquier repositorio de paquetes de código abierto) y su potencial para ataques masivos a la cadena de suministro.

Solo este mes, hemos visto ataques de phishing contra los mantenedores de paquetes npm y cientos de paquetes infectados con malware que roba secretos.

En respuesta, GitHub, propietario del registro npm para paquetes JavaScript, afirma que está reforzando la seguridad. Esto incluye acortar la vida útil de los tokens de seguridad y cambiar a la publicación local con autenticación de dos factores por defecto «próximamente».