Una línea de código añadida y miles de empresas hackeadas. ¡Esta es la magia de la cadena de suministro!

Redazione RHC : 27 septiembre 2025 10:54

Los desarrolladores aprendieron a confiar en las herramientas que ayudan a sus asistentes de IA a gestionar tareas rutinarias, desde el envío de correos electrónicos hasta el uso de bases de datos. Pero esta confianza resultó vulnerable: el paquete postmark-mcp, descargado más de 1500 veces por semana desde la versión 1.0.16, reenviaba silenciosamente copias de todos los correos electrónicos a un servidor externo propiedad de su autor . La correspondencia interna de la empresa, las facturas, las contraseñas y los documentos confidenciales estaban en riesgo.

El incidente demostró por primera vez que los servidores MCP pueden utilizarse como un conducto completo para ataques a la cadena de suministro . Los investigadores de Koi Security identificaron el problema cuando su sistema detectó un cambio repentino en el comportamiento de los paquetes.

Una investigación reveló que el desarrollador había añadido una sola línea de código que insertaba automáticamente una dirección CCO oculta y enviaba todos los mensajes a giftshop.club . Quince versiones anteriores habían funcionado a la perfección, y la herramienta se había integrado en los flujos de trabajo de cientos de organizaciones.

El peligro particular de la situación se ve subrayado por la aparente fiabilidad del autor: un perfil público de GitHub, datos reales y proyectos con historial activo . Durante meses, los usuarios no tuvieron motivos para dudar de su seguridad. Pero la actualización convirtió una herramienta conocida en un mecanismo de filtración . Un secuestro clásico jugó un papel clave: npm añadió un clon del repositorio de Postmark, añadiendo solo una línea sobre el reenvío.

Es difícil estimar la magnitud de los daños, pero se estima que cientos de organizaciones enviaban, sin saberlo, miles de correos electrónicos al día a un servidor externo. No se utilizaron exploits ni técnicas sofisticadas: los propios administradores otorgaron acceso total a los asistentes de IA y permitieron que el nuevo servidor funcionara sin restricciones.

Las herramientas MCP tienen permisos de acceso directo: pueden enviar correos electrónicos, conectarse a bases de datos, ejecutar comandos y enviar solicitudes API . Sin embargo, no están sujetas a comprobaciones de seguridad ni a la verificación del proveedor, ni se incluyen en el inventario de activos. Estos módulos permanecen invisibles para la seguridad corporativa.

Este incidente puso de manifiesto una falla fundamental en la arquitectura MCP. A diferencia de los paquetes convencionales, estos están diseñados específicamente para su uso autónomo por parte de asistentes de IA. Las máquinas no pueden reconocer el código malicioso: para ellas, enviar un correo electrónico con una dirección adicional parece una ejecución exitosa del comando. Por lo tanto, una puerta trasera simple permanece activa y sin detectar hasta que se descubre.

Los especialistas de Koi recomiendan eliminar la versión 1.0.16 de postmark-mcp y posteriores, cambiar las credenciales enviadas por correo electrónico y revisar cuidadosamente los registros para verificar el reenvío a giftshop.club. Además, la empresa recomienda reconsiderar el uso de servidores MCP en general: sin verificación independiente, estas herramientas se convierten en un vector de ataque principal para las empresas.

Los indicadores de vulnerabilidad incluyen la versión 1.0.16 o posterior del paquete postmark-mcp, la dirección phan@giftshop[.]club y el dominio giftshop[.]club. La verificación es posible analizando los encabezados de correo electrónico en busca de CCO ocultos, verificando las configuraciones de MCP y las instalaciones de npm.

Redazione
Red Hot Cyber's editorial team consists of a collection of individuals and anonymous sources who actively collaborate by providing advance information and news on cyber security and IT in general.

Lista degli articoli