- 1 Scoperta di un server MCP malevolo: un nuovo rischio per la catena di fornitura software
- 2 Il pacchetto npm malevolo e la sua scoperta
- 3 Implicazioni e raccomandazioni per gli sviluppatori
- 4 La semplicità del backdoor e le sue conseguenze
- 5 Impatto sulla fiducia nell’ecosistema open-source
- 6 Considerazioni finali
Scoperta di un server MCP malevolo: un nuovo rischio per la catena di fornitura software
I ricercatori di cybersecurity hanno individuato quello che è stato descritto come il primo caso di un server Model Context Protocol (MCP) malevolo avvistato in natura, aumentando i rischi per la catena di fornitura software. Secondo Koi Security, un sviluppatore dall’aspetto legittimo è riuscito a inserire codice dannoso all’interno di un pacchetto npm chiamato “postmark-mcp”, che copiava una libreria ufficiale di Postmark Labs con lo stesso nome.
Il pacchetto npm malevolo e la sua scoperta
La funzionalità malevola è stata introdotta nella versione 1.0.16, rilasciata il 17 settembre 2025. La libreria “postmark-mcp” originale, disponibile su GitHub, espone un server MCP per consentire agli utenti di inviare email, accedere e utilizzare modelli di email, e tracciare campagne utilizzando assistenti di intelligenza artificiale (AI). Il pacchetto npm in questione è stato successivamente eliminato da npm dallo sviluppatore “phanpak”, che lo aveva caricato nel repository il 15 settembre 2025 e mantiene altri 31 pacchetti. La libreria JavaScript ha attirato un totale di 1.643 download.
Implicazioni e raccomandazioni per gli sviluppatori
“Dalla versione 1.0.16, ha silenziosamente copiato ogni email sul server personale dello sviluppatore,” ha dichiarato Idan Dardikman, Chief Technology Officer di Koi Security. “Questo è il primo avvistamento al mondo di un server MCP malevolo nel mondo reale. La superficie di attacco per gli attacchi alla catena di fornitura degli endpoint sta lentamente diventando la più grande superficie di attacco per le imprese.” Il pacchetto malevolo è una replica della libreria originale, salvo per una modifica di una riga aggiunta nella versione 1.0.16 che inoltra essenzialmente ogni email inviata utilizzando il server MCP all’indirizzo email “phan@giftshop[.]club” tramite BCC, potenzialmente esponendo comunicazioni sensibili.
La semplicità del backdoor e le sue conseguenze
“Il backdoor di postmark-mcp non è sofisticato – è imbarazzantemente semplice,” ha detto Dardikman. “Ma dimostra perfettamente quanto sia completamente rotto questo intero setup. Un solo sviluppatore. Una sola riga di codice. Migliaia e migliaia di email rubate.” Gli sviluppatori che hanno installato il pacchetto npm sono raccomandati di rimuoverlo immediatamente dai loro flussi di lavoro, ruotare eventuali credenziali che potrebbero essere state esposte tramite email e rivedere i log delle email per il traffico BCC al dominio segnalato.
Impatto sulla fiducia nell’ecosistema open-source
“I server MCP tipicamente operano con alta fiducia e ampie autorizzazioni all’interno delle catene di strumenti degli agenti. Pertanto, qualsiasi dato che gestiscono può essere sensibile (reset delle password, fatture, comunicazioni con i clienti, memo interni, ecc.),” ha affermato Snyk. “In questo caso, il backdoor in questo server MCP è stato costruito con l’intenzione di raccogliere ed esfiltrare email per flussi di lavoro agentici che si affidavano a questo server MCP.” I risultati illustrano come gli attori delle minacce continuino ad abusare della fiducia degli utenti associata all’ecosistema open-source e al nascente ecosistema MCP a loro vantaggio, specialmente quando vengono implementati in ambienti critici per il business senza adeguate protezioni.
Considerazioni finali
Questa scoperta sottolinea l’importanza di una vigilanza costante nella gestione delle dipendenze software, specialmente in un contesto open-source. La semplicità con cui un singolo sviluppatore è riuscito a compromettere un pacchetto così ampiamente utilizzato evidenzia la necessità di controlli di sicurezza più rigorosi e di una maggiore consapevolezza tra gli sviluppatori. È fondamentale che le aziende adottino misure proattive per proteggere le loro catene di fornitura software, garantendo che ogni componente sia verificato e monitorato per attività sospette. La fiducia nell’ecosistema open-source è un bene prezioso che deve essere protetto con attenzione e responsabilità.
Fonte: The Hackers News
