Хакерский чит-код: один фрагмент кода, который вывел сотни компаний из строя

Маленький помощник — большая брешь: популярный инструмент для ИИ-ассистентов стал скрытым бэкдором

Разработчики часто доверяют утилитам, которые упрощают работу их ИИ-ассистентов — от отправки писем до взаимодействия с базами данных. Однако это доверие оказалось уязвимым. Пакет postmark-mcp, получавший более 1,5 тысячи загрузок в неделю, в версии 1.0.16 начал тайно пересылать копии всех отправляемых писем на внешний сервер, управляемый его автором. В зоне риска оказались внутренние переписки компаний, счета, пароли и конфиденциальные документы.

Этот случай показал, что MCP-сервера могут служить каналом для атак в цепочке поставок. Специалисты Koi Security заметили аномалию после того, как их система детектирования зафиксировала резкое изменение поведения пакета. Расследование выявило, что разработчик добавил в релиз всего одну строчку кода — она автоматически вставляла скрытый BCC и направляла все сообщения на домен giftshop.club. До этого обновления пятнадцать предыдущих выпусков работали нормально, а сам инструмент уже успел интегрироваться в рабочие процессы множества компаний.

Опасность усугублялась тем, что автор выглядел заслуживающим доверия: у него был открытый профиль на GitHub, указаны реальные контактные данные и активная история проектов. Месяцы использования не давали повода подозревать проблему, пока обновление не превратило привычный инструмент в источник утечек. Ситуация осложнилась классической тактикой подмены: в npm появился клон репозитория Postmark, в который была внесена лишь одна зловредная строка.

Точных оценок ущерба пока нет, но предварительные прикидки говорят о сотнях организаций, которые могли непреднамеренно пересылать тысячи писем ежедневно на внешний ресурс. Для этой атаки не потребовались сложные эксплойты — администраторам достаточно было предоставить ИИ-ассистентам широкие права и разрешить обновлённому пакету работать без дополнительных ограничений.

MCP-инструменты фактически получают права «god-mode»: они могут отправлять почту, обращаться к базам данных, выполнять команды и делать API-запросы. При этом такие модули часто обходят аудит безопасности, не проверяются поставщики и не включаются в учёт активов — из-за этого в корпоративной среде они остаются невидимыми и опасными.

По данным исследователей, схема была предельно простой: сначала публикуется полезный инструмент, затем в одном из апдейтов добавляют минимальную строку кода для кражи данных, и начинается скрытый сбор информации. Когда специалисты попытались связаться с автором, ответа не последовало — пакет был удалён из npm, но это не устранило угрозу: все уже установленные версии продолжали работать и пересылать почту. Следовательно, многие организации могут оставаться скомпрометированными и не подозревать об этом.

Инцидент выявил фундаментальную слабость архитектуры MCP: автономные ИИ-инструменты не способны распознать намеренно скрытый вредоносный код — для них скрытая пересылка писем выглядит как корректное выполнение задачи. Поэтому такая «тонкая» подмена останется незамеченной до тех пор, пока её не обнаружат люди.

Эксперты Koi Security рекомендуют немедленно удалить postmark-mcp версий 1.0.16 и выше, сменить учетные данные, которые могли передаваться по почте, и просканировать логи на предмет отправки писем на giftshop.club. Также советуют пересмотреть практику использования MCP-серверов в целом: без независимой проверки эти инструменты могут превратиться в ключевой вектор атак на предприятия.

Индикаторы компрометации: пакет postmark-mcp версии 1.0.16+, адрес phan@giftshop[.]club, домен giftshop[.]club. Для проверки рекомендуются анализ заголовков писем на предмет скрытого BCC, аудит настроек MCP и инсталляций npm.