Ciberseguridad 360 | Primer servidor MCP aparece en Postmark-MCP

Investigadores en ciberseguridad han descubierto lo que se ha descrito como el primer caso conocido de un servidor Model Context Protocol (MCP) detectado en el mundo real, lo que aumenta los riesgos de la cadena de suministro de software.

Seg�n Koi Security, un desarrollador de apariencia leg�tima logr� introducir c�digo no ver�dico en un paquete npm llamado postmark-mcp que copiaba una biblioteca oficial de Postmark Labs con el mismo nombre. La funcionalidad maliciosa se introdujo en la versi�n 1.0.16, que se lanz� el 17 de septiembre de 2025.

La biblioteca postmark-mcp real, disponible en GitHub, expone un servidor MCP para permitir a los usuarios enviar correos electr�nicos, acceder y utilizar plantillas de correo electr�nico y realizar un seguimiento de las campa�as mediante asistentes de inteligencia artificial (IA).

El paquete npm en cuesti�n ha sido eliminado de npm por el desarrollador phanpak, quien lo subi� al repositorio el 15 de septiembre de 2025 y mantiene otros 31 paquetes. La biblioteca JavaScript atrajo un total de 1643 descargas.

"Desde la versi�n 1.0.16, ha estado copiando silenciosamente todos los correos electr�nicos al servidor personal del desarrollador", afirm� Idan Dardikman, director de tecnolog�a de Koi Security. "Se trata del primer caso conocido en el mundo de un servidor MCP malicioso real. La superficie de ataque para los ataques a la cadena de suministro de los puntos finales se est� convirtiendo poco a poco en la mayor superficie de ataque de las empresas".

El paquete es una r�plica de la biblioteca original, salvo por un cambio de una l�nea a�adido en la versi�n 1.0.16 que, b�sicamente, reenv�a todos los correos electr�nicos enviados a trav�s del servidor MCP a la direcci�n de correo electr�nico phan@giftshop[.]club mediante CCO, lo que podr�a exponer comunicaciones confidenciales.

"La puerta trasera de postmark-mcp no es sofisticada, es vergonzosamente simple", afirm� Dardikman. "Pero demuestra perfectamente lo completamente defectuosa que es toda esta configuraci�n. Un desarrollador. Una l�nea de c�digo. Miles y miles de correos electr�nicos robados".

Se recomienda a los desarrolladores que hayan instalado el paquete npm que lo eliminen inmediatamente de sus flujos de trabajo, cambien cualquier credencial que pueda haber quedado expuesta a trav�s del correo electr�nico y revisen los registros de correo electr�nico en busca de tr�fico CCO al dominio denunciado.

"Los servidores MCP suelen funcionar con un alto nivel de confianza y amplios permisos dentro de las cadenas de herramientas de los agentes. Por lo tanto, cualquier dato que manejen puede ser confidencial (restablecimiento de contrase�as, facturas, comunicaciones con clientes, memorandos internos, etc.)", afirma Snyk. "En este caso, la puerta trasera de este servidor MCP se cre� con la intenci�n de recopilar y filtrar correos electr�nicos para flujos de trabajo de agentes que depend�an de este servidor MCP".

Los hallazgos ilustran c�mo los actores maliciosos siguen abusando de la confianza de los usuarios asociada al ecosistema de c�digo abierto y al incipiente ecosistema MCP en su beneficio, especialmente cuando se implementan en entornos cr�ticos para el negocio sin las medidas de protecci�n adecuadas.

Fuente: thehackernews