"God-mode" в руках хакера. Как одна строка кода скомпрометировала сотни компаний

Разработчики привыкли доверять инструментам, которые помогают их ИИ-ассистентам брать на себя рутинные задачи — от отправки писем до работы с базами данных. Но это доверие оказалось уязвимостью: пакет postmark-mcp, загружаемый более 1,5 тысячи раз каждую неделю, с версии 1.0.16 незаметно пересылал копии всех писем на внешний сервер, принадлежащий его автору. Под угрозу попали внутренние переписки компаний, счета, пароли и конфиденциальные документы.

Инцидент впервые продемонстрировал, что MCP-сервера могут использоваться как полноценный канал для атак на цепочку поставок. Исследователи Koi Security зафиксировали проблему, когда их система выявила резкое изменение поведения пакета. Проверка показала, что разработчик добавил в код всего одну строку, которая автоматически вставляла скрытый BCC-адрес и отправляла все сообщения на giftshop.club. До этого пятнадцать релизов работали безупречно, и инструмент успел стать частью рабочих процессов сотен организаций.

Особую опасность ситуации подчёркивает то, что автор выглядел максимально надёжным: открытый GitHub-профиль, реальные данные, проекты с активной историей. На протяжении месяцев у пользователей не было повода сомневаться в безопасности. Но обновление превратило привычный инструмент в механизм утечки. Классическая подмена сыграла ключевую роль: в npm появился клон репозитория Postmark, в который добавили лишь одну строку с пересылкой.

Масштабы ущерба оценить сложно, но примерные расчёты говорят о сотнях организаций, которые невольно рассылали тысячи писем в день на внешний сервер. При этом никаких эксплойтов или сложных техник не использовалось — администраторы сами дали ИИ-ассистентам полный доступ и позволили новому серверу действовать без ограничений.

MCP-инструменты обладают правами уровня «god-mode»: они могут отправлять письма, подключаться к базам, выполнять команды и делать API-запросы. Но при этом не проходят ни аудит безопасности, ни проверку поставщиков, и отсутствуют в инвентаризации активов. Для корпоративной защиты такие модули остаются невидимыми.

По данным исследователей, модель атаки выглядела просто: сначала создаётся полезный продукт, затем в одном из обновлений внедряется минимальный код для кражи, после чего происходит скрытый сбор данных. Когда исследователи попытались связаться с разработчиком, он не дал ответа и вскоре удалил пакет из npm. Однако удаление не решает проблему: все ранее установленные версии продолжают работать и пересылать почту. Это значит, что многие компании до сих пор скомпрометированы и могут не знать об утечке.

Этот случай высветил фундаментальный изъян архитектуры MCP. В отличие от обычных пакетов, они создаются специально для автономного использования ИИ-ассистентами. Машина не умеет распознавать вредоносный код: для неё отправка писем с дополнительным адресом выглядит как успешное выполнение команды. Таким образом, простой бэкдор остаётся незаметным и действует до тех пор, пока его кто-то не обнаружит.

Специалисты Koi рекомендуют удалить postmark-mcp версии 1.0.16 и выше, провести ротацию учётных данных, которые могли передаваться через почту, и тщательно проверить логи на наличие пересылки на giftshop.club. Более того, компания советует пересмотреть использование MCP-серверов в целом: без независимой верификации такие инструменты превращаются в главный вектор атак на предприятия.

Индикаторы компрометации включают пакет postmark-mcp версии 1.0.16 и новее, адрес phan@giftshop[.]club и домен giftshop[.]club. Проверка возможна через анализ заголовков писем на предмет скрытых BCC, аудит конфигураций MCP и инсталляций npm.