Pesquisadores em cibersegurança identificaram o que pode ser o primeiro caso real de um servidor Model Context Protocol (MCP) malicioso em operação, elevando os riscos para a cadeia de suprimentos de software.
Segundo a Koi Security, um desenvolvedor mal-intencionado conseguiu inserir código rogue dentro do pacote npm chamado "postmark-mcp", que era uma cópia quase idêntica da biblioteca oficial Postmark Labs com o mesmo nome.
A funcionalidade maliciosa foi introduzida na versão 1.0.16, lançada em 17 de setembro de 2025.
A biblioteca legítima "postmark-mcp", disponível no GitHub, expõe um servidor MCP que permite aos usuários enviar e-mails, utilizar templates e monitorar campanhas com o auxílio de assistentes de inteligência artificial (AI).
O pacote npm fraudulento foi removido da plataforma pelo desenvolvedor identificado como "phanpak", que o havia publicado em 15 de setembro de 2025.
Esse autor mantém outros 31 pacotes.
A biblioteca JavaScript teve um total de 1.643 downloads.
“Desde a versão 1.0.16, ela copia silenciosamente todos os e-mails para o servidor pessoal do desenvolvedor”, explicou Idan Dardikman, CTO da Koi Security.
“Este é o primeiro registro no mundo de um servidor MCP malicioso em atividade real.
A superfície de ataque para incidentes na cadeia de suprimentos em endpoints está se tornando a maior vulnerabilidade nas empresas.”
O pacote malicioso é uma réplica da biblioteca original, com uma única linha de código adicionada na versão 1.0.16.
Essa modificação envia uma cópia oculta (BCC) de todo e-mail processado pelo servidor MCP para o endereço “phan[@]giftshop[.]club”, expondo potenciais informações confidenciais.
“A backdoor no postmark-mcp não é sofisticada — é constrangedoramente simples”, afirmou Dardikman.
“Mas demonstra perfeitamente o quão vulnerável esse sistema é: um desenvolvedor, uma linha de código e milhares de e-mails roubados.”
A recomendação para desenvolvedores que instalaram esse pacote é removê-lo imediatamente de seus projetos.
Além disso, é crucial trocar quaisquer credenciais que possam ter sido expostas por meio dos e-mails e revisar logs para identificar tráfego BCC direcionado ao domínio citado.
Segundo a Snyk, “servidores MCP geralmente operam com alto nível de confiança e permissões amplas dentro de toolchains de agentes.
Por isso, os dados que passam por eles podem ser sensíveis — como resets de senha, faturas, comunicações com clientes e memorandos internos.” Eles alertam que, neste caso, a backdoor foi criada exatamente para coletar e exfiltrar e-mails usados em workflows ligados a esse MCP Server.
Este incidente evidencia como grupos maliciosos continuam a explorar a confiança da comunidade open source e do ecossistema emergente de MCPs, especialmente quando essas soluções são adotadas em ambientes críticos de negócio sem as devidas salvaguardas.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...