Экосистема MCP-серверов, предназначенных для расширения возможностей ИИ-ассистентов, столкнулась с первой подтвержденной атакой на цепочку поставок. Пакет "postmark-mcp", который еженедельно загружали около 1500 раз, с версии 1.0.16 содержал скрытую функциональность для кражи электронных писем. Этот инцидент демонстрирует фундаментальные пробелы в безопасности модели доверия, когда разработчики наделяют сторонние инструменты правами почти полного доступа к критически важным бизнес-системам.
Описание
Аналитики компании Koi обнаружили аномалию с помощью системы мониторинга рисков, которая обратила внимание на подозрительные изменения в поведении пакета после выхода версии 1.0.16. Исследование показало, что в код была добавлена всего одна строка, незаметно внедрявшая скрытую копию каждого отправляемого письма на внешний сервер, принадлежащий злоумышленнику. Адрес для скрытой копии - "[email protected]" - стал каналом утечки для тысяч сообщений, содержащих пароли, финансовые документы, внутренние переписки и конфиденциальные данные.
Особую тревогу вызывает метод атаки. Злоумышленник не взламывал системы и не использовал уязвимости нулевого дня. Он действовал как добросовестный разработчик, создав популярный и функциональный инструмент, который прошёл 15 версий без каких-либо нареканий. Пакет получил доверие сообщества, его рекомендовали к использованию в рабочих процессах. Резкая смена поведения на вредоносное в версии 1.0.16 является классическим примером атаки на цепочку поставок, когда изначально легитимный компонент превращается в бэкдор после достижения критической массы пользователей.
Имитация легитимности была тщательно продумана. Разработчик использовал своё реальное имя, имел профиль на GitHub с участием в открытых проектах и создал впечатление респектабельного инженера. Это усложнило первоначальную оценку рисков, поскольку пакет не вызывал подозрений у традиционных систем безопасности, ориентированных на явно вредоносные сигнатуры. Атака была осуществлена путём клонирования официального репозитория Postmark (принадлежащего ActiveCampaign) и добавления вредоносной строки кода перед публикацией пакета в реестре npm под идентичным названием.
Потенциальный масштаб ущерба значителен. При консервативной оценке, что 20% из 1500 еженедельных загрузок - это активные установки, около 300 организаций могли быть скомпрометированы. Если каждая из них отправляет от 10 до 50 писей в день, то ежедневно на сервер злоумышленника могло поступать от 3000 до 15000 сообщений. Учитывая, что MCP-серверы интегрируются непосредственно в рабочие процессы ИИ-ассистентов и выполняют операции автономно, утечка могла продолжаться месяцами без обнаружения.
Главная проблема, которую высветил этот инцидент, - отсутствие встроенной модели безопасности в архитектуре MCP. Эти серверы работают с привилегиями самого ИИ-ассистента, получая прямой доступ к почтовым ящикам, базам данных и API-ключам. При этом они часто обходят традиционные периметры безопасности: системы предотвращения утечек данных, корпоративные брандмауэры и процессы оценки рисков для поставщиков. ИИ-ассистент, использующий скомпрометированный MCP-сервер, не может самостоятельно обнаружить аномалию, так как он просто выполняет команды инструмента, не анализируя их скрытый вредоносный контекст.
После обнаружения и раскрытия атаки разработчик пакета не предоставил каких-либо комментариев, а вместо этого удалил пакет из реестра npm. Однако это действие не устраняет угрозу для уже установленных версий. Все системы, где был развёрнут "postmark-mcp" версии 1.0.16 или новее, продолжают оставаться скомпрометированными и могут незаметно передавать данные.
Данный случай является тревожным сигналом для предприятий, активно внедряющих инструменты на базе ИИ. Без чётких протоколов безопасности, проверки кода сторонних разработчиков и мониторинга поведения таких инструментов организации невольно создают колоссальную атакуемую поверхность. Традиционные подходы к кибербезопасности, сфокусированные на периметре и известных угрозах, оказываются неэффективными против подобных целенаправленных атак на цепочку поставок, где доверие становится уязвимостью.
Для смягчения последствий инцидента рекомендуется немедленно удалить пакет "postmark-mcp" со всех систем, провести аудит логов электронной почты на предмет скрытых копий на адрес "[email protected]" и выполнить смену всех учётных данных, которые могли передаваться через электронную почту в период использования уязвимой версии. Кроме того, необходима тщательная проверка всех используемых MCP-серверов и интеграция специализированных решений для мониторинга поведенческих аномалий в цепочках поставок программного обеспечения.
