Investigadores de seguridad de Koi Security han descubierto una actualización maliciosa en un servidor ampliamente utilizado de Model Context Protocol (MCP), que ha estado robando correos electrónicos de los usuarios que lo instalaron.

El servidor en cuestión, Postmark MCP Server, es una herramienta de código abierto diseñada para desplegar agentes de IA que manejan tareas contextuales, como ordenar y procesar correos electrónicos. El estándar MCP, introducido por Anthropic en noviembre de 2024, se utiliza para gestionar información contextual en modelos de IA, permitiendo automatizar tareas que requieren comprensión de entradas previas.

Postmark MCP Server, desarrollado por un ingeniero de software independiente identificado en GitHub y npm como @phanpak, funcionó normalmente durante sus primeras quince versiones. Sin embargo, a partir de la versión 1.0.16, el servidor comenzó a copiar todos los correos electrónicos de las cuentas de los usuarios al servidor personal del desarrollador, según Koi Security.

Se estima que este comportamiento malicioso afectó a cientos de flujos de trabajo de desarrolladores. Los investigadores calculan que aproximadamente el 20% de los 15,000 usuarios que descargaron el servidor lo estaban utilizando activamente, lo que podría haber impactado a 300 organizaciones. Los correos exfiltrados incluían contenido sensible como memorandos internos, facturas y otros documentos confidenciales.

Cómo Funcionaba el Ataque

La funcionalidad maliciosa estaba incrustada directamente en el código del servidor. Una vez instalado, Postmark MCP Server podía restablecer contraseñas y acceder a todo el contenido del correo electrónico. Los correos robados se enviaban a un servidor vinculado a giftshop.club, que aparentemente se utilizaba como servidor de control y comando (C2).

Idan Dardikman, investigador principal de Koi Security, explicó:

“La puerta trasera en postmark-mcp no es sofisticada. El desarrollador no explotó un zero-day ni utilizó técnicas avanzadas de hacking. Los usuarios entregaron efectivamente acceso completo a sus correos electrónicos al instalar el paquete y permitir que los agentes de IA interactuaran con él.”

Aunque el desarrollador eliminó el paquete malicioso de npm tras el descubrimiento, Koi Security advierte que las instalaciones ya existentes siguen comprometidas. Se insta a los usuarios a desinstalar inmediatamente la versión 1.0.16 o posterior y a cambiar todas las credenciales que podrían haber sido expuestas.

Implicaciones para el Ecosistema MCP

Este incidente resalta una vulnerabilidad sistémica en el ecosistema MCP. Dado que los servidores MCP se pueden instalar con amplios permisos y carecen de un modelo de seguridad incorporado, los actores maliciosos pueden explotarlos durante períodos prolongados sin ser detectados.

Las organizaciones que dependen de flujos de trabajo de IA basados en MCP deben ser cautelosas al integrar paquetes de terceros, especialmente los creados por desarrolladores desconocidos o no verificados. La revisión estricta, la supervisión y el control de acceso son esenciales para prevenir brechas similares en el futuro.

Fuente: https://www.infosecurity-magazine.com/news/malicious-ai-agent-server