Redazione RHC : 27 Settembre 2025 10:54
Gli sviluppatori hanno imparato ad avere fiducia negli strumenti che aiutano i loro assistenti AI a gestire le attività di routine, dall’invio di email all’utilizzo dei database. Ma questa fiducia si è rivelata vulnerabile: il pacchetto postmark-mcp, scaricato oltre 1.500 volte a settimana dalla versione 1.0.16, ha inoltrato silenziosamente copie di tutte le email a un server esterno di proprietà del suo autore. Corrispondenza aziendale interna, fatture, password e documenti riservati erano a rischio.
L’incidente ha dimostrato per la prima volta che i server MCP possono essere utilizzati come un vero e proprio canale per attacchi alla supply chain. I ricercatori di Koi Security hanno identificato il problema quando il loro sistema ha rilevato un improvviso cambiamento nel comportamento dei pacchetti.
Un’indagine ha rivelato che lo sviluppatore aveva aggiunto una singola riga di codice che inseriva automaticamente un indirizzo CCN nascosto e inviava tutti i messaggi a giftshop.club. Quindici release avevano precedentemente funzionato perfettamente e lo strumento era diventato parte dei flussi di lavoro di centinaia di organizzazioni.
 CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHCSei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La particolare pericolosità della situazione è sottolineata dalla natura apparentemente affidabile dell’autore: un profilo GitHub pubblico, dati reali e progetti con cronologie attive. Per mesi, gli utenti non hanno avuto motivo di dubitare della sua sicurezza. Ma l’aggiornamento ha trasformato uno strumento familiare in un meccanismo di fuga di notizie. Un classico hijacking ha giocato un ruolo chiave: npm ha aggiunto un clone del repository Postmark, aggiungendo solo una riga sull’inoltro.
L’entità del danno è difficile da stimare, ma le stime suggeriscono che centinaia di organizzazioni inviassero inconsapevolmente migliaia di email al giorno a un server esterno. Non sono stati utilizzati exploit o tecniche sofisticate: gli amministratori stessi hanno concesso pieno accesso agli assistenti di intelligenza artificiale e hanno permesso al nuovo server di funzionare senza restrizioni.
Gli strumenti MCP dispongono di autorizzazioni “god-mode”: possono inviare e-mail, connettersi a database, eseguire comandi e inviare richieste API. Tuttavia, non sono sottoposti a controlli di sicurezza o verifiche da parte dei fornitori e non sono inclusi nell’inventario delle risorse. Questi moduli rimangono invisibili alla sicurezza aziendale.
Questo incidente ha evidenziato una falla fondamentale nell’architettura MCP. A differenza dei pacchetti normali, questi sono creati specificamente per l’uso autonomo da parte di assistenti AI. Le macchine non sono in grado di riconoscere il codice dannoso: per loro, l’invio di email con un indirizzo aggiuntivo appare come un’esecuzione corretta di un comando. Pertanto, una semplice backdoor rimane inosservata e attiva finché non viene scoperta.
Gli specialisti di Koi raccomandano di rimuovere postmark-mcp versione 1.0.16 e successive, di modificare le credenziali eventualmente trasmesse via email e di controllare attentamente i log per l’inoltro a giftshop.club. Inoltre, l’azienda raccomanda di riconsiderare l’utilizzo dei server MCP in generale: senza una verifica indipendente, tali strumenti diventano un vettore di attacco primario per le aziende.
Gli indicatori di compromissione includono il pacchetto postmark-mcp versione 1.0.16 o successiva, l’indirizzo phan@giftshop[.]club e il dominio giftshop[.]club. La verifica è possibile analizzando le intestazioni delle email per individuare eventuali Ccn nascosti, verificando le configurazioni MCP e verificando le installazioni npm.
RedazioneIl 20 settembre scorso abbiamo riportato di un attacco informatico che ha paralizzato diversi aeroporti europei tra cui Bruxelles, Berlino e Londra-Heathrow. Si è trattato di un attacco alla supply c...
Il sistema penitenziario rumeno si è trovato al centro di un importante scandalo digitale: i detenuti di Târgu Jiu hanno hackerato la piattaforma interna dell’ANP e, per diversi mesi, hanno gestit...
Le autorità del Wisconsin hanno deciso di andare oltre la maggior parte degli altri stati americani nel promuovere la verifica obbligatoria dell’età per l’accesso a contenuti per adulti. L’AB ...
Il 10 ottobre 2025 le autorità lettoni hanno condotto una giornata di azione che ha portato all’arresto di cinque cittadini lettoni sospettati di gestire un’articolata rete di frodi telematiche. ...
Il CERT-AGID ha rilevato una nuova variante del phishing ai danni di PagoPA. La campagna, ancora a tema multe come le precedenti, sfrutta questa volta un meccanismo di open redirect su domini legittim...
