江苏
关键词
数据泄露
近日发现,一个冒充Postmark MCP Server的恶意 npm 包“postmark-mcp”正在向攻击者服务器暗中转发用户邮件。
该包在 npm 上从 1.0.0 到 1.0.15 均为正常版本,以逐步发布的方式积累信任,但在1.0.16 版本中植入了后门。一行隐藏在主传输脚本中的代码,通过BCC(密送)的方式,将所有外发邮件复制并发送至攻击者域名。
攻击者通过模仿 ActiveCampaign 官方 Postmark MCP Server 库的命名、版本和描述,使该包看起来与正版一致,从而逃过了初步审查。开发者在执行npm install postmark-mcp时,便不知不觉地引入了被篡改的依赖。
由于恶意代码仅为一行,且语法正常,被放置在合法 header 设置逻辑中,因此在代码审查和自动化安全扫描中未被发现。结果,数千封开发者与用户之间的邮件被静默转发。
Postmark 强调,其官方 API 与 SDK 未受影响,从未在 npm 发布过“postmark-mcp”库。官方包可在 GitHub 和文档中查询:
github.com/ActiveCampaign/postmark
Postmark 开发者门户 API 文档
Postmark 建议受影响组织立即采取措施:
卸载“postmark-mcp”;
检查 SMTP 日志与 Postmark 追踪事件,排查可疑 BCC 操作或异常 API 调用;
更换在受影响期间使用过的凭据或令牌。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
