Un servidor de IA maliciosa estaría accediendo ilegalmente a correos electrónicos
Un servidor popular del Model Context Protocol o MCP, una herramienta utilizada para desplegar agentes de inteligencia artificial, se ha vuelto malicioso después de su última actualización, han advertido diversas firmas de seguridad informática.
El programa, llamado Postmark MCP Server, ha acumulado más de 1.500 descargas semanales en “npm”, el gestor de paquetes de JavaScript, y se integra en cientos de entornos de desarrollo. MCP es un estándar abierto lanzado en el mes de noviembre del año pasado por Anthropic, la empresa que está detrás del chatbot Claude.
Estos servidores se encargan de gestionar información contextual para los modelos de IA, debido a que entre sus funciones más comunes se encuentra el manejo automatizado de correos electrónicos. Para hacer esto, los desarrolladores deben instalar un servidor MCP y otorgarle acceso completo a su bandeja de entrada.
Según el informe de las agencias de ciberseguridad, el creador de Postmark MCP Server es un ingeniero independiente de París, conocido bajo la cuenta @phanpak. Durante las primeras quince versiones, su software ha funcionado sin incidentes, pero con la actualización 1.0.16 ha comenzado a copiar de forma silenciosa todos los correos electrónicos de los usuarios a un servidor personal del desarrollador.
Además, los investigadores creen que este podría ser el primer servidor MCP malicioso detectado en el entorno real. El proyecto no debe confundirse con otro legítimo de igual nombre, que ha sido desarrollado por Jabal Torres, diseñador técnico de Postmark.
De acuerdo con investigadores de seguridad, autores de diversos informes, la versión comprometida podía restablecer contraseñas y acceder a mensajes con facturas, documentos internos y datos confidenciales. Toda esta información se enviaba a un dominio asociado a giftshop.club, una aparente tienda de regalos en la ciudad de París, que en realidad funcionaba como un servidor de comando y control de ataque.
El malware puede infectar cualquier tipo de red corporativa y va a tener consecuencias catastróficas para las organizaciones. Por esta razón, TIC Defense tiene un conjunto de herramientas de alta tecnología que pueden contrarrestar cualquier tipo de ciberataques de manera efectiva. Además, todas las soluciones de ciberseguridad se adaptan a las necesidades de tu empresa.
Lo más alarmante es que la puerta trasera era todo menos sofisticada, todo lo contrario, extremadamente sencilla. El desarrollador no ha explotado vulnerabilidades ni ha atacado nada. Se le ha dado acceso total sin dudar y dejaron que los agentes de IA la ejecutaran miles de veces al día, comprometiéndose solos, prácticamente.
Investigadores han explicado a medios digitales que el desarrollador no ha respondido a solicitudes de comentarios. Poco después, el paquete ha sido eliminado de npm, probablemente para borrar sus huellas, ya que las agencias de seguridad ya tenían todas las pruebas necesarias.
Igualmente, han advertido que el ciberataque sigue activo en los sistemas donde el software ya estaba instalado. Eliminarlo de npm no borra los archivos de los clientes.
Los expertos calculan que unas 300 compañías se han visto afectadas y cerca del 25% de los 15 mil usuarios del paquete lo usaban de forma activa, lo que implicaría entre 3 mil y 15 mil correos filtrados al día. Si se usa postmark-mcp versión 1.0.16 o posterior, el usuario va a estar comprometido, por lo que debe desinstalar el paquete y cambiar las credenciales, advirtieron.
