複製 GitHub 上的官方「postmark-mcp」專案的 npm 套件在最新更新中出現問題，並添加了一行程式碼來竊取所有使用者的電子郵件通訊。該惡意軟體包由看似合法的開發人員發布，在程式碼和描述方面與真實軟體包完全一致，並作為官方連接埠在 npm 上出現了 15 次迭代。 Postmark 是一個電子郵件傳遞平台，Postmark MCP 是 MCP 伺服器，它將 Postmark 的功能公開給 AI 助手，讓它們代表使用者或應用程式發送電子郵件。Koi Security 研究人員發現，npm 上的惡意軟體包在 1.0.15 之前的所有版本中都是乾淨的，但在 1.0.16 版本中，它添加了一行程式碼，將所有用戶電子郵件轉發到與同一開發人員相關的 giftshop[.]club 外部位址。對於從 npm 下載了postmark-mcp的用戶，建議立即刪除它，並更換所有可能暴露的憑證。
 

此極具風險的惡意功能，可能導致數千封包含密碼重置、雙因素驗證碼、金融及客戶詳細資訊等敏感通訊被洩露。該惡意版本在 npm 上架約一週，記錄了約 1,500 次下載，研究人員估計這可能已竊取數千封電子郵件。此事件突顯了 Model Context Protocol (MCP) 環境中固有的安全漏洞，特別是當伺服器在缺乏監督或沙箱保護的關鍵環境中運行時，以及 AI 助手執行未經篩選的惡意命令時，潛藏的高風險性。由於 MCPs 以極高權限運行，任何漏洞都將帶來重大風險。該發布者在資安公司聯繫後，已將該惡意套件從 npm 上移除。為防範此類供應鏈攻擊，使用者應務必驗證專案來源，確保其為官方儲存庫，並仔細審查原始碼和變更日誌。建議在將新版本部署到正式環境前，在隔離容器或沙箱中運行 MCP 伺服器，並持續監控是否存在可疑的資料外洩或未經授權的通訊行為。

資料來源：https://www.bleepingcomputer.com/news/security/unofficial-postmark-mcp-npm-silently-stole-users-emails/