Un package npm compromis usurpe MCP Server Postmark

Pensant télécharger postmark-mcp, un serveur de messagerie Postmark basé sur model context protocol, de nombreux utilisateurs ont été bernés par un paquet npm malveillant. 500 entreprises ont été touchées et plusieurs milliers d'e-mails ont fuité.

Dans une attaque supply chain révélée récemment, un paquet npm « postmark-mcp » a été utilisé pour exfiltrer discrètement des courriels. Cette première utilisation abusive signalée remet en cause la confiance des utilisateurs et pointe l’insuffisance des garde-fous autour du protocole de connecteur d’IA MCP très médiatisé. Le paquet malveillant, téléchargé 1 500 fois par semaine sur le très populaire registre de paquets node.js, se faisait passer pour une version du véritable serveur MCP (Model Context Protocol) afin d'intégrer Postmark, un service de messagerie transactionnelle appartenant à ActiveCampaign, dans des assistants d’IA. « Depuis la version 1.0.16, postmark-mcp copie discrètement tous les courriels sur le serveur personnel du développeur », a écrit Idan Dardikman de Koi Security dans un billet de blog. « Je parle de réinitialisations de mots de passe, de factures, de notes de service internes, de documents confidentiels, de tout. » Selon M. Dardikman, pendant les quinze versions précédentes, postmark-mcp fonctionnait comme un outil légitime, auquel les développeurs faisaient confiance pour intégrer des assistants d’IA aux flux de travail de messagerie électronique. Puis, avec l’ajout d’une simple ligne de code, il a discrètement introduit la porte dérobée.

Un backdoor caché dans un champ Bcc:

Le moteur de risque de Koi a signalé un comportement suspect dans la version 1.0.16, ce qui a conduit ses chercheurs à découvrir une insertion cachée dans le champ Bcc:. L'attaquant avait copié le code source officiel (ActiveCampaign) MCP, puis injecté une seule ligne de duplication de courriels au cœur du code. Une fois la version publiée, chaque fois que l'outil envoyait un e-mail, il transférait également en silence une copie à tophan@giftshop.club, un domaine lié à l'attaquant. Même nom, même fonction, juste une porte dérobée ajoutée. « La porte dérobée postmark-mcp n'est pas sophistiquée, elle est d'une simplicité confondante », a ajouté M. Dardikman. « Mais elle démontre parfaitement à quel point toute cette configuration est complètement défaillante. Un développeur. Une ligne de code. Des milliers et des milliers de courriels volés. » Selon son estimation « prudente », l’accès non autorisé a concerné environ 3 000 à 15 000 courriels par entreprise et par jour, et touché 500 entreprises au total. Les courriels contenaient probablement un ensemble de données commerciales sensibles, notamment des réinitialisations de mots de passe, des factures, des notes de service internes et d'autres correspondances privées. Comme la modification malveillante était minime et presque indétectable dans le cadre d'une utilisation normale, elle aurait pu perdurer très longtemps.

Des risques persistants, même après la suppression du paquet

Les chercheurs en sécurité de Koi n'ont pas reçu de réponse lorsqu'ils ont contacté le développeur (l'attaquant) de la version 1.0.16 pour avoir des éclaircissements sur l'ajout de « Bcc: ». Au lieu de cela, ils ont remarqué que le paquet avait été rapidement supprimé, avant même qu'ils aient pu le signaler à npm. Cependant, la suppression du paquet ne le supprimera pas des machines sur lesquelles il est déjà installé. Même si l’on ne sait pas exactement combien de développeurs ont téléchargé cette version, chacun des « 1 500 téléchargements hebdomadaires en moyenne » est compromis, ce qui a probablement motivé le retrait rapide du paquet par le pirate. Pour limiter les dégâts, Koi recommande la suppression immédiate de postmark-mcp (version 1.0.16), une modification des identifiants qui auraient pu être divulgués par e-mail et des audits approfondis de tous les MCP utilisés. « Ces serveurs MCP fonctionnent avec les mêmes privilèges que les assistants d’IA eux-mêmes (accès complet aux courriels, connexions aux bases de données, autorisations API), mais ils n'apparaissent dans aucun inventaire d'actifs, échappent aux évaluations des risques des fournisseurs et contournent tous les contrôles de sécurité, du DLP aux passerelles de messagerie », a ajouté M. Dardikman. « Lorsque quelqu'un se rend compte que son assistant d’IA envoie discrètement des courriels en copie cachée à un serveur externe depuis des mois, les dégâts sont déjà catastrophiques. » Les professionnels de la sécurité se montrent très réservés à l'égard du MCP depuis son introduction par Anthropic. Au fil du temps, le protocole a rencontré plusieurs obstacles, des fournisseurs tels qu'Anthropic et Asana ayant signalé des failles critiques dans leurs implémentations MCP.