Primeiro Servidor MCP Malicioso Encontrado Roubando Emails em Pacote Postmark-MCP Falso

29 de setembro de 2025 - Pesquisadores de segurança cibernética descobriram a primeira instância de um servidor Model Context Protocol (MCP) malicioso em atividade, aumentando os riscos da cadeia de suprimentos de software.

O Ataque

• Um pacote npm chamado "postmark-mcp" foi comprometido com código malicioso
• A funcionalidade maliciosa foi introduzida na versão 1.0.16, lançada em 17 de setembro de 2025
• O pacote falsificado copiava uma biblioteca oficial do Postmark Labs com o mesmo nome

Como Funciona

O pacote malicioso é uma réplica da biblioteca original, com apenas uma linha de código alterada na versão 1.0.16 que:

• Encaminha automaticamente todos os emails enviados através do servidor MCP
• Envia cópias ocultas (BCC) para o endereço "phan@giftshop[.]club"
• Potencialmente expõe comunicações sensíveis

Estatísticas do Ataque

• Pacote npm posteriormente removido pelo desenvolvedor "phanpak"
• 1.643 downloads totais do pacote JavaScript
• Desenvolvedor mantém 31 outros pacotes no repositório

Impacto e Recomendações

Segundo a Koi Security, este é "o primeiro avistamento mundial de um servidor MCP malicioso no mundo real". Os servidores MCP normalmente operam com alta confiança e permissões amplas em cadeias de ferramentas de agentes.

Ações recomendadas:

• Remover imediatamente o pacote npm dos fluxos de trabalho
• Rotacionar credenciais que possam ter sido expostas via email
• Revisar logs de email para tráfego BCC para o domínio reportado

Conclusão

O ataque demonstra como os agentes de ameaça continuam abusando da confiança do usuário no ecossistema de código aberto e no emergente ecossistema MCP, especialmente quando implantados em ambientes críticos de negócios sem proteções adequadas.