Komunitas pengembangan AI telah terguncang dengan ditemukannya server Model Control Protocol ( MCP ) jahat pertama yang dikonfirmasi di alam liar. Paket postmark-mcp , yang diunduh 1.500 kali per minggu dan dipercaya oleh ratusan pengembang, secara diam-diam menyalin setiap email ke server pribadi penyerang selama berbulan-bulan.
Insiden ini telah memicu perdebatan sengit tentang model keamanan fundamental dari server MCP dan apakah pendekatan saat ini untuk mempercayai alat pihak ketiga dengan operasi sensitif dapat berkelanjutan.
Skala Dampak:
- 1.500 unduhan mingguan
- Diperkirakan 300 organisasi terdampak (dengan asumsi 20% penggunaan aktif)
- Ribuan email berpotensi dieksfiltrasi setiap hari
- Alamat email backdoor: domain @hotmail.club
 |
|---|
| Menjelajahi ancaman server Model Control Protocol (MCP) berbahaya pertama yang telah mencuri email |
Serangan Ini Sangat Sederhana
Kode jahat tersebut hanya terdiri dari satu baris yang ditambahkan ke versi 1.0.16 dari paket postmark-mcp : field BCC tersembunyi yang diam-diam menyalin setiap email ke alamat eksternal. Yang membuat serangan ini sangat berbahaya adalah timingnya - pengembang telah membangun kepercayaan yang asli selama 15 versi sebelumnya sebelum memperkenalkan backdoor.
Penyerang menyamar sebagai layanan email Postmark yang sah dengan menyalin kode resmi mereka dan menerbitkannya kembali dengan nama yang sama di npm . Selama berminggu-minggu, versi jahat tersebut beroperasi tanpa terdeteksi, berpotensi mengekspos reset password, invoice, komunikasi internal, dan dokumen rahasia dari sekitar 300 organisasi.
Server MCP adalah alat yang memungkinkan asisten AI melakukan tindakan seperti mengirim email, menjalankan query database, dan mengeksekusi perintah sistem secara otomatis.
Kronologi Serangan:
- Versi 1.0.0-1.0.15: Fungsionalitas yang sah, membangun kepercayaan pengguna
- Versi 1.0.16: Baris BCC berbahaya ditambahkan pada baris 221
- Pasca-penemuan: Paket dihapus dari npm, tetapi instalasi yang sudah ada tetap terkompromi
Komunitas Mengangkat Kekhawatiran Tentang Manajemen Paket
Penemuan ini telah memicu kembali diskusi tentang peran npm sebagai platform distribusi untuk alat-alat penting. Beberapa anggota komunitas menunjukkan bahwa npm telah menjadi pilihan default bahkan untuk alat non- JavaScript , dengan beberapa mencatat bahwa bahkan OpenAI mendistribusikan alat yang dibangun dengan Rust melalui npm karena kemudahan.
Hampir selalu paket npm . Saya tahu itu karena npm adalah sistem paket yang paling banyak digunakan dan paling memotivasi bagi penyerang. Tapi tetap saja meninggalkan rasa tidak enak di mulut saya.
Beberapa pengembang telah mengadopsi langkah-langkah defensif, menjalankan server MCP dalam kontainer Docker yang terisolasi di jaringan terpisah. Namun, yang lain berpendapat bahwa tingkat paranoia ini seharusnya tidak diperlukan untuk alat pengembangan dasar.
 |
|---|
| Logistik pengiriman email yang direpresentasikan melalui karakter-karakter yang melambangkan paket postmark-mcp dan lingkungannya |
Masalah Model Keamanan yang Lebih Luas
Yang membuat insiden ini sangat mengkhawatirkan adalah bagaimana hal ini mengekspos asumsi kepercayaan fundamental dalam ekosistem MCP . Tidak seperti pustaka perangkat lunak tradisional, server MCP dirancang untuk digunakan secara otomatis oleh asisten AI , seringkali ratusan kali per hari tanpa pengawasan manusia.
Perdebatan komunitas telah menyoroti perbedaan kunci: sementara dependensi eksternal apa pun secara teoritis dapat dikompromikan, server MCP beroperasi dengan hak istimewa yang lebih tinggi dan akses langsung ke operasi sensitif seperti pengiriman email dan akses database. Ketika asisten AI menggunakan server MCP yang dikompromikan, ia tidak memiliki kemampuan untuk mendeteksi atau mempertanyakan perilaku mencurigakan.
Beberapa pengembang mengadvokasi pendekatan yang lebih hati-hati, menghindari pustaka pihak ketiga sepenuhnya untuk operasi kritis seperti pengiriman email. Yang lain berpendapat bahwa ini mewakili masalah keamanan supply chain yang lebih luas yang meluas jauh melampaui ekosistem MCP .
Indikator Kompromi (IOCs):
- Paket: postmark-mcp (npm)
- Versi berbahaya: 1.0.16 dan yang lebih baru
- Deteksi: Periksa header BCC yang mencurigakan dalam log email keluar
- Mitigasi: Penghapusan segera, rotasi kredensial, audit log email
Pelajaran dan Risiko yang Berkelanjutan
Insiden postmark-mcp menunjukkan bagaimana pengembang yang sah dengan identitas nyata dan reputasi yang mapan masih dapat menjadi vektor ancaman. Motivasi penyerang tetap tidak jelas - apakah tekanan finansial, paksaan eksternal, atau oportunisme sederhana yang menyebabkan keputusan untuk mem-backdoor pengguna yang dipercaya.
Yang sangat meresahkan adalah bahwa instalasi yang dikompromikan tetap aktif bahkan setelah paket dihapus dari npm . Organisasi yang menggunakan versi jahat terus membocorkan email sampai mereka secara manual menghapus perangkat lunak yang dikompromikan.
Kasus ini berfungsi sebagai peringatan bagi komunitas pengembangan AI tentang risiko mempercayai alat pihak ketiga secara membabi buta dengan operasi sensitif. Seiring server MCP menjadi lebih umum, kebutuhan akan model keamanan yang lebih baik, pemantauan berkelanjutan, dan sistem verifikasi menjadi semakin kritis.
Referensi: First Malicious MCP in the Wild: The Postmark Backdoor That's Stealing Your Emails
 |
|---|
| Representasi yang menyenangkan tentang pentingnya memantau pembaruan perangkat lunak untuk memastikan keamanan dalam pengembangan perangkat lunak |