研究人员发现广泛使用的postmark-mcp工具包自1.0.16版本起暗藏后门，每周窃取1500次用户邮件数据，包括密码重置和机密文件。这是首个恶意MCP服务器案例，凸显企业供应链攻击风险。Koi安全团队通过风险引擎检测到该异常行为后曝光此事。

标题：首例恶意MCP程序现身：窃取邮件的Postmark后门 | Koi博客

核心内容：

安全公司Koi发现名为postmark-mcp的npm包自1.0.16版本起植入恶意代码，成为全球首例恶意MCP服务器案例。该包每周下载量达1,500次，被数百个开发工作流集成。

攻击手法： 1. 攻击者克隆Postmark官方仓库代码 2. 在1.0.16版本中植入单行恶意代码（BCC至giftshop.club） 3. 保持其他功能正常运作15个版本建立信任

危害程度： - 影响约300个活跃使用机构 - 每日泄露3,000-15,000封邮件（含密码重置、发票、机密文件等） - 攻击者未使用漏洞利用，直接获取用户主动授予的权限

行业警示： 1. MCP服务器具有与AI助手相同的权限（邮件/数据库/API访问） 2. 现有安全体系无法有效监管这类工具 3. 供应链攻击成为企业最大安全威胁面

时间线： - 阶段1（1.0.0-1.0.15）：建立可信度 - 阶段2（1.0.16+）：植入后门 - 阶段3：通过giftshop.club域名收集数据

应对建议： 1. 立即卸载1.0.16+版本 2. 轮换可能泄露的凭证 3. 检查邮件日志中的BCC记录 4. 审计所有MCP服务器来源

IOC指标： - 恶意版本：≥1.0.16 - 渗透邮箱：phan@giftshop[.]club - 关联域名：giftshop[.]club

（注：保留核心技术细节和危害分析，删除部分重复性描述和图片引用，优化事件叙述逻辑）

这篇评论围绕第三方依赖库的安全风险展开讨论，主要观点如下：

1. 对文章本身的批评

• 认为文章是"诱饵文章"，配图质量差（评论1："Bait article with an awful chatgpt generated image"）
• 质疑文章讨论的是否是"非问题"，只是为了制造内容（评论9："Are people really this oblivious or are these articles written about non-issues"）

2. 第三方库的安全风险

• 指出安装未经审查的第三方工具存在普遍风险（评论8："installing any package is a liability"）
• 以Thunderbird扩展为例说明类似风险长期存在（评论10："How is this different from a backdoor in a Thunderbird extension?"）
• 有人选择直接使用基础工具如curl来规避风险（评论3："Just old fashioned curl and POST requests"）

3. 对事件影响的评估

• 质疑受影响用户数量的估算方法（评论14："Those figures seems crazy to me"）
• 指出NPM下载量不能等同于实际使用组织数（评论14："A download from NPM is just someone doing npm i"）
• 认为实际影响可能很小（评论14："the actual impact of this one is probably close to 0"）

4. 更广泛的安全担忧

• 对比微软Outlook收集邮件数据却未引起关注（评论2："Microsoft is doing this for months to millions of people"）
• 指出这类攻击可能发生在任何外部依赖上（评论4："this kind of attack could happen to any external dependency"）
• 强调NPM包特别容易成为攻击目标（评论5："It's almost always npm packages"）

5. 安全建议

• 呼吁保持警惕（评论7："Stay suspicious, stay safe"）
• 建议通过法律手段追查攻击者（评论12："What stops police from getting a warrant"）

部分评论还提到了AI工具的安全风险（评论6、评论7）和对网站UI的赞赏（评论13）。