Una riga di codice aggiunta e migliaia di aziende violate. Questa la magia della Supply Chain!

Gli sviluppatori hanno imparato ad avere fiducia negli strumenti che aiutano i loro assistenti AI a gestire le attività di routine, dall’invio di email all’utilizzo dei database. Ma questa fiducia si è rivelata vulnerabile: il pacchetto postmark-mcp, scaricato oltre 1.500 volte a settimana dalla versione 1.0.16, ha inoltrato silenziosamente copie di tutte le email a un server esterno di proprietà del suo autore. Corrispondenza aziendale interna, fatture, password e documenti riservati erano a rischio.

L’incidente ha dimostrato per la prima volta che i server MCP possono essere utilizzati come un vero e proprio canale per attacchi alla supply chain. I ricercatori di Koi Security hanno identificato il problema quando il loro sistema ha rilevato un improvviso cambiamento nel comportamento dei pacchetti.

Un’indagine ha rivelato che lo sviluppatore aveva aggiunto una singola riga di codice che inseriva automaticamente un indirizzo CCN nascosto e inviava tutti i messaggi a giftshop.club. Quindici release avevano precedentemente funzionato perfettamente e lo strumento era diventato parte dei flussi di lavoro di centinaia di organizzazioni.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

La particolare pericolosità della situazione è sottolineata dalla natura apparentemente affidabile dell’autore: un profilo GitHub pubblico, dati reali e progetti con cronologie attive. Per mesi, gli utenti non hanno avuto motivo di dubitare della sua sicurezza. Ma l’aggiornamento ha trasformato uno strumento familiare in un meccanismo di fuga di notizie. Un classico hijacking ha giocato un ruolo chiave: npm ha aggiunto un clone del repository Postmark, aggiungendo solo una riga sull’inoltro.

L’entità del danno è difficile da stimare, ma le stime suggeriscono che centinaia di organizzazioni inviassero inconsapevolmente migliaia di email al giorno a un server esterno. Non sono stati utilizzati exploit o tecniche sofisticate: gli amministratori stessi hanno concesso pieno accesso agli assistenti di intelligenza artificiale e hanno permesso al nuovo server di funzionare senza restrizioni.

Gli strumenti MCP dispongono di autorizzazioni “god-mode”: possono inviare e-mail, connettersi a database, eseguire comandi e inviare richieste API. Tuttavia, non sono sottoposti a controlli di sicurezza o verifiche da parte dei fornitori e non sono inclusi nell’inventario delle risorse. Questi moduli rimangono invisibili alla sicurezza aziendale.

Questo incidente ha evidenziato una falla fondamentale nell’architettura MCP. A differenza dei pacchetti normali, questi sono creati specificamente per l’uso autonomo da parte di assistenti AI. Le macchine non sono in grado di riconoscere il codice dannoso: per loro, l’invio di email con un indirizzo aggiuntivo appare come un’esecuzione corretta di un comando. Pertanto, una semplice backdoor rimane inosservata e attiva finché non viene scoperta.

Gli specialisti di Koi raccomandano di rimuovere postmark-mcp versione 1.0.16 e successive, di modificare le credenziali eventualmente trasmesse via email e di controllare attentamente i log per l’inoltro a giftshop.club. Inoltre, l’azienda raccomanda di riconsiderare l’utilizzo dei server MCP in generale: senza una verifica indipendente, tali strumenti diventano un vettore di attacco primario per le aziende.

Gli indicatori di compromissione includono il pacchetto postmark-mcp versione 1.0.16 o successiva, l’indirizzo phan@giftshop[.]club e il dominio giftshop[.]club. La verifica è possibile analizzando le intestazioni delle email per individuare eventuali Ccn nascosti, verificando le configurazioni MCP e verificando le installazioni npm.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.