Redazione RHC : 27 Settembre 2025 10:54
Gli sviluppatori hanno imparato ad avere fiducia negli strumenti che aiutano i loro assistenti AI a gestire le attività di routine, dall’invio di email all’utilizzo dei database. Ma questa fiducia si è rivelata vulnerabile: il pacchetto postmark-mcp, scaricato oltre 1.500 volte a settimana dalla versione 1.0.16, ha inoltrato silenziosamente copie di tutte le email a un server esterno di proprietà del suo autore. Corrispondenza aziendale interna, fatture, password e documenti riservati erano a rischio.
L’incidente ha dimostrato per la prima volta che i server MCP possono essere utilizzati come un vero e proprio canale per attacchi alla supply chain. I ricercatori di Koi Security hanno identificato il problema quando il loro sistema ha rilevato un improvviso cambiamento nel comportamento dei pacchetti.
Un’indagine ha rivelato che lo sviluppatore aveva aggiunto una singola riga di codice che inseriva automaticamente un indirizzo CCN nascosto e inviava tutti i messaggi a giftshop.club. Quindici release avevano precedentemente funzionato perfettamente e lo strumento era diventato parte dei flussi di lavoro di centinaia di organizzazioni.
 Sponsorizza la prossima Red Hot Cyber Conference! Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference. Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La particolare pericolosità della situazione è sottolineata dalla natura apparentemente affidabile dell’autore: un profilo GitHub pubblico, dati reali e progetti con cronologie attive. Per mesi, gli utenti non hanno avuto motivo di dubitare della sua sicurezza. Ma l’aggiornamento ha trasformato uno strumento familiare in un meccanismo di fuga di notizie. Un classico hijacking ha giocato un ruolo chiave: npm ha aggiunto un clone del repository Postmark, aggiungendo solo una riga sull’inoltro.
L’entità del danno è difficile da stimare, ma le stime suggeriscono che centinaia di organizzazioni inviassero inconsapevolmente migliaia di email al giorno a un server esterno. Non sono stati utilizzati exploit o tecniche sofisticate: gli amministratori stessi hanno concesso pieno accesso agli assistenti di intelligenza artificiale e hanno permesso al nuovo server di funzionare senza restrizioni.
Gli strumenti MCP dispongono di autorizzazioni “god-mode”: possono inviare e-mail, connettersi a database, eseguire comandi e inviare richieste API. Tuttavia, non sono sottoposti a controlli di sicurezza o verifiche da parte dei fornitori e non sono inclusi nell’inventario delle risorse. Questi moduli rimangono invisibili alla sicurezza aziendale.
Questo incidente ha evidenziato una falla fondamentale nell’architettura MCP. A differenza dei pacchetti normali, questi sono creati specificamente per l’uso autonomo da parte di assistenti AI. Le macchine non sono in grado di riconoscere il codice dannoso: per loro, l’invio di email con un indirizzo aggiuntivo appare come un’esecuzione corretta di un comando. Pertanto, una semplice backdoor rimane inosservata e attiva finché non viene scoperta.
Gli specialisti di Koi raccomandano di rimuovere postmark-mcp versione 1.0.16 e successive, di modificare le credenziali eventualmente trasmesse via email e di controllare attentamente i log per l’inoltro a giftshop.club. Inoltre, l’azienda raccomanda di riconsiderare l’utilizzo dei server MCP in generale: senza una verifica indipendente, tali strumenti diventano un vettore di attacco primario per le aziende.
Gli indicatori di compromissione includono il pacchetto postmark-mcp versione 1.0.16 o successiva, l’indirizzo phan@giftshop[.]club e il dominio giftshop[.]club. La verifica è possibile analizzando le intestazioni delle email per individuare eventuali Ccn nascosti, verificando le configurazioni MCP e verificando le installazioni npm.
RedazioneNel 2025, gli utenti fanno ancora molto affidamento sulle password di base per proteggere i propri account. Uno studio di Comparitech, basato sull’analisi di oltre 2 miliardi di password reali trape...
Numerosi apprezzamenti stanno arrivando per Elon Musk, che continua a guidare con destrezza le molteplici attività del suo impero, tra cui Tesla, SpaceX, xAI e Starlink, mantenendo salda la sua posiz...
Tre ex dipendenti di DigitalMint, che hanno indagato sugli incidenti ransomware e negoziato con i gruppi di ransomware, sono accusati di aver hackerato le reti di cinque aziende americane. Secondo il ...
Cisco ha reso noto recentemente di aver scoperto una nuova tipologia di attacco informatico mirato a compromettere i dispositivi che operano con i software Cisco Secure Firewall Adaptive Security Appl...
Nel mese di Settembre è uscita una nuova vulnerabilità che riguarda Notepad++. La vulnerabilità è stata identificata con la CVE-2025-56383 i dettagli possono essere consultati nel sito del NIST. L...
