Redazione RHC : 27 Settembre 2025 08:48
Gli sviluppatori hanno imparato ad avere fiducia negli strumenti che aiutano i loro assistenti AI a gestire le attività di routine, dall’invio di email all’utilizzo dei database. Ma questa fiducia si è rivelata vulnerabile: il pacchetto postmark-mcp, scaricato oltre 1.500 volte a settimana dalla versione 1.0.16, ha inoltrato silenziosamente copie di tutte le email a un server esterno di proprietà del suo autore. Corrispondenza aziendale interna, fatture, password e documenti riservati erano a rischio.
L’incidente ha dimostrato per la prima volta che i server MCP possono essere utilizzati come un vero e proprio canale per attacchi alla supply chain. I ricercatori di Koi Security hanno identificato il problema quando il loro sistema ha rilevato un improvviso cambiamento nel comportamento dei pacchetti.
Un’indagine ha rivelato che lo sviluppatore aveva aggiunto una singola riga di codice che inseriva automaticamente un indirizzo CCN nascosto e inviava tutti i messaggi a giftshop.club. Quindici release avevano precedentemente funzionato perfettamente e lo strumento era diventato parte dei flussi di lavoro di centinaia di organizzazioni.
Vuoi diventare un esperto del Dark Web e della Cyber Threat Intelligence (CTI)?Stiamo per avviare il corso intermedio in modalità "Live Class" del corso "Dark Web & Cyber Threat Intelligence". A differenza dei corsi in e-learning, disponibili online sulla nostra piattaforma con lezioni pre-registrate, i corsi in Live Class offrono un’esperienza formativa interattiva e coinvolgente. Condotti dal professor Pietro Melillo, le lezioni si svolgono online in tempo reale, permettendo ai partecipanti di interagire direttamente con il docente e approfondire i contenuti in modo personalizzato. Questi corsi, ideali per aziende, consentono di sviluppare competenze mirate, affrontare casi pratici e personalizzare il percorso formativo in base alle esigenze specifiche del team, garantendo un apprendimento efficace e immediatamente applicabile. Guarda subito l'anteprima gratuita del corso su academy.redhotcyber.com Contattaci per ulteriori informazioni tramite WhatsApp al 375 593 1011 oppure scrivi a [email protected]  Supporta RHC attraverso:
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
La particolare pericolosità della situazione è sottolineata dalla natura apparentemente affidabile dell’autore: un profilo GitHub pubblico, dati reali e progetti con cronologie attive. Per mesi, gli utenti non hanno avuto motivo di dubitare della sua sicurezza. Ma l’aggiornamento ha trasformato uno strumento familiare in un meccanismo di fuga di notizie. Un classico hijacking ha giocato un ruolo chiave: npm ha aggiunto un clone del repository Postmark, aggiungendo solo una riga sull’inoltro.
L’entità del danno è difficile da stimare, ma le stime suggeriscono che centinaia di organizzazioni inviassero inconsapevolmente migliaia di email al giorno a un server esterno. Non sono stati utilizzati exploit o tecniche sofisticate: gli amministratori stessi hanno concesso pieno accesso agli assistenti di intelligenza artificiale e hanno permesso al nuovo server di funzionare senza restrizioni.
Gli strumenti MCP dispongono di autorizzazioni “god-mode”: possono inviare e-mail, connettersi a database, eseguire comandi e inviare richieste API. Tuttavia, non sono sottoposti a controlli di sicurezza o verifiche da parte dei fornitori e non sono inclusi nell’inventario delle risorse. Questi moduli rimangono invisibili alla sicurezza aziendale.
Questo incidente ha evidenziato una falla fondamentale nell’architettura MCP. A differenza dei pacchetti normali, questi sono creati specificamente per l’uso autonomo da parte di assistenti AI. Le macchine non sono in grado di riconoscere il codice dannoso: per loro, l’invio di email con un indirizzo aggiuntivo appare come un’esecuzione corretta di un comando. Pertanto, una semplice backdoor rimane inosservata e attiva finché non viene scoperta.
Gli specialisti di Koi raccomandano di rimuovere postmark-mcp versione 1.0.16 e successive, di modificare le credenziali eventualmente trasmesse via email e di controllare attentamente i log per l’inoltro a giftshop.club. Inoltre, l’azienda raccomanda di riconsiderare l’utilizzo dei server MCP in generale: senza una verifica indipendente, tali strumenti diventano un vettore di attacco primario per le aziende.
Gli indicatori di compromissione includono il pacchetto postmark-mcp versione 1.0.16 o successiva, l’indirizzo phan@giftshop[.]club e il dominio giftshop[.]club. La verifica è possibile analizzando le intestazioni delle email per individuare eventuali Ccn nascosti, verificando le configurazioni MCP e verificando le installazioni npm.
RedazioneRecentemente, un avviso sul noto forum underground “DarkForum” ha riacceso i riflettori sul crescente e pericoloso mercato della compravendita di documenti d’identità rubati o falsificati. L’...
Cisco ha reso note due vulnerabilità critiche che interessano i propri firewall Secure Firewall Adaptive Security Appliance (ASA) e Secure Firewall Threat Defense (FTD), oltre ad altri prodotti di re...
Il ricercatore Nicholas Zubrisky di Trend Research ha segnalato una vulnerabilità critica nel componente ksmbd del kernel Linux che consente ad aggressori remoti di eseguire codice arbitrario con i m...
Il Dipartimento di Giustizia degli Stati Uniti e la polizia britannica hanno incriminato Talha Jubair, 19 anni, residente nell’East London, che gli investigatori ritengono essere un membro chiave di...
Una vulnerabilità zero-day, monitorata con il CVE-2025-20352, è stata resa pubblica da Cisco nei suoi diffusissimi software IOS e IOS XE; tale vulnerabilità risulta essere sfruttata attivamente. L�...
