Pesquisadores em cibersegurança identificaram o que pode ser o primeiro caso real de um servidor Model Context Protocol (MCP) malicioso em operação, elevando os riscos para a cadeia de suprimentos de software.
Segundo a Koi Security, um desenvolvedor mal-intencionado conseguiu inserir código rogue dentro do pacote npm chamado "postmark-mcp", que era uma cópia quase idêntica da biblioteca oficial Postmark Labs com o mesmo nome.
A funcionalidade maliciosa foi introduzida na versão 1.0.16, lançada em 17 de setembro de 2025.
A biblioteca legítima "postmark-mcp", disponível no GitHub, expõe um servidor MCP que permite aos usuários enviar e-mails, utilizar templates e monitorar campanhas com o auxílio de assistentes de inteligência artificial (AI).
O pacote npm fraudulento foi removido da plataforma pelo desenvolvedor identificado como "phanpak", que o havia publicado em 15 de setembro de 2025.
Esse autor mantém outros 31 pacotes.
A biblioteca JavaScript teve um total de 1.643 downloads.
“Desde a versão 1.0.16, ela copia silenciosamente todos os e-mails para o servidor pessoal do desenvolvedor”, explicou Idan Dardikman, CTO da Koi Security.
“Este é o primeiro registro no mundo de um servidor MCP malicioso em atividade real.
A superfície de ataque para incidentes na cadeia de suprimentos em endpoints está se tornando a maior vulnerabilidade nas empresas.”
O pacote malicioso é uma réplica da biblioteca original, com uma única linha de código adicionada na versão 1.0.16.
Essa modificação envia uma cópia oculta (BCC) de todo e-mail processado pelo servidor MCP para o endereço “phan[@]giftshop[.]club”, expondo potenciais informações confidenciais.
“A backdoor no postmark-mcp não é sofisticada — é constrangedoramente simples”, afirmou Dardikman.
“Mas demonstra perfeitamente o quão vulnerável esse sistema é: um desenvolvedor, uma linha de código e milhares de e-mails roubados.”
A recomendação para desenvolvedores que instalaram esse pacote é removê-lo imediatamente de seus projetos.
Além disso, é crucial trocar quaisquer credenciais que possam ter sido expostas por meio dos e-mails e revisar logs para identificar tráfego BCC direcionado ao domínio citado.
Segundo a Snyk, “servidores MCP geralmente operam com alto nível de confiança e permissões amplas dentro de toolchains de agentes.
Por isso, os dados que passam por eles podem ser sensíveis — como resets de senha, faturas, comunicações com clientes e memorandos internos.” Eles alertam que, neste caso, a backdoor foi criada exatamente para coletar e exfiltrar e-mails usados em workflows ligados a esse MCP Server.
Este incidente evidencia como grupos maliciosos continuam a explorar a confiança da comunidade open source e do ecossistema emergente de MCPs, especialmente quando essas soluções são adotadas em ambientes críticos de negócio sem as devidas salvaguardas.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...