Descubren el primer servidor MCP malicioso en paquete falso de Postmark-MCP

Investigadores de ciberseguridad han identificado el primer caso conocido de un servidor malicioso de Model Context Protocol (MCP) en entornos reales, lo que aumenta las preocupaciones sobre los riesgos en la cadena de suministro de software.

De acuerdo con Koi Security, un actor malicioso logró introducir código fraudulento en un paquete de npm llamado “postmark-mcp”, que imitaba a la librería legítima de Postmark Labs con el mismo nombre. El código malicioso apareció por primera vez en la versión 1.0.16, publicada el 17 de septiembre de 2025.

La librería original de Postmark-MCP, disponible en GitHub, está diseñada para exponer un servidor MCP que permite enviar correos electrónicos, gestionar plantillas y realizar seguimiento de campañas con asistentes de inteligencia artificial. Sin embargo, el paquete comprometido redirigía en secreto cada correo enviado a un servidor controlado por el atacante, usando una simple modificación de una línea de código para copiar en BCC los mensajes a “phan@giftshop[.]club.”

Descubrimiento e impacto

El paquete fue cargado en npm el 15 de septiembre de 2025 por un desarrollador bajo el alias “phanpak,” quien mantiene más de 30 paquetes adicionales. Antes de ser eliminado, ya había sido descargado 1,643 veces.

“Este es el primer caso documentado de un servidor MCP malicioso,” señaló Idan Dardikman, CTO de Koi Security. “La puerta trasera no era sofisticada, era ridículamente simple, pero demuestra lo vulnerable que está todo el ecosistema de la cadena de suministro. Un desarrollador. Una línea de código. Miles de correos robados.”

Riesgos para las organizaciones

El servidor MCP malicioso representa un riesgo considerable, ya que estos servidores suelen operar con altos niveles de confianza y amplios permisos dentro de las cadenas de herramientas. Esto significa que datos sensibles como restablecimientos de contraseñas, facturas, comunicaciones con clientes o memorandos internos pudieron haber quedado expuestos.

La plataforma de seguridad Snyk advirtió que este ataque se diseñó específicamente para exfiltrar correos electrónicos de flujos de trabajo dependientes de servidores MCP, subrayando cómo los atacantes se aprovechan de la confianza que se deposita en el ecosistema de código abierto.

Medidas recomendadas

Las organizaciones y desarrolladores que hayan instalado el paquete falso “postmark-mcp” deben:

• Eliminarlo de inmediato de todos sus flujos de trabajo.
• Rotar credenciales expuestas que pudieran haberse filtrado por correo electrónico.
• Revisar los registros de correo en busca de tráfico BCC sospechoso dirigido al dominio del atacante.

Implicaciones más amplias

Este incidente refuerza una tendencia preocupante: los ciberdelincuentes siguen explotando la confianza en el software de código abierto introduciendo código malicioso en paquetes populares. A medida que la tecnología MCP se implementa en entornos empresariales críticos, este ataque es un llamado de atención para que las compañías fortalezcan sus medidas de seguridad, realicen auditorías de código frecuentes y mejoren la visibilidad en sus cadenas de desarrollo.

El caso del paquete falso de Postmark-MCP muestra lo fácil que resulta para un atacante manipular la confianza en el ecosistema open source, y lo crucial que es que las organizaciones refuercen sus defensas en la cadena de suministro digital.

Fuente: https://thehackernews.com/2025/09/first-malicious-mcp-server-found.html