Meses de espera por una sola línea maliciosa: el autor de un popular paquete npm secuestró el correo de cientos de empresas

Los desarrolladores han tendido a confiar en herramientas que ayudan a sus asistentes de IA a asumir tareas rutinarias —desde el envío de correos hasta el trabajo con bases de datos. Pero esa confianza resultó ser una vulnerabilidad: el paquete postmark-mcp, descargado más de 1.500 veces cada semana, desde la versión 1.0.16 reenviaba sin ser detectado copias de todos los correos a un servidor externo perteneciente a su autor. Se vieron comprometidas las conversaciones internas de empresas, facturas, contraseñas y documentos confidenciales.

El incidente demostró por primera vez que los servidores MCP pueden utilizarse como un canal completo para ataques a la cadena de suministro. Investigadores de Koi Security registraron el problema cuando su sistema detectó un cambio brusco en el comportamiento del paquete. La verificación mostró que el desarrollador añadió al código una sola línea que insertaba automáticamente una dirección BCC oculta y enviaba todos los mensajes a giftshop.club. Antes de eso quince versiones funcionaron sin problemas, y la herramienta ya formaba parte de los flujos de trabajo de cientos de organizaciones.

Lo que agrava la situación es que el autor parecía extremadamente confiable: un perfil de GitHub público, datos reales, proyectos con historial activo. Durante meses los usuarios no tuvieron motivo para dudar de la seguridad. Pero la actualización convirtió la herramienta habitual en un mecanismo de filtración. Una suplantación clásica jugó un papel clave: en npm apareció un clon del repositorio Postmark, al que solo añadieron una línea con el reenvío.

Es difícil evaluar la magnitud del daño, pero los cálculos aproximados apuntan a cientos de organizaciones que sin saberlo enviaban miles de correos al día a un servidor externo. No se usaron exploits ni técnicas complejas: los administradores dieron a los asistentes de IA acceso completo y permitieron que el nuevo servidor actuara sin restricciones.

Las herramientas MCP cuentan con privilegios de nivel "god-mode": pueden enviar correos, conectarse a bases de datos, ejecutar comandos y realizar solicitudes API. Sin embargo, no suelen pasar auditorías de seguridad ni verificaciones de proveedores, y no figuran en la inventariación de activos. Para la protección corporativa, esos módulos permanecen invisibles.

Según los investigadores, el modelo de ataque fue simple: primero se crea un producto útil, luego en una de las actualizaciones se inserta un código mínimo para el robo y, después, se realiza la recolección oculta de datos. Cuando los investigadores trataron de contactar al desarrollador, este no respondió y poco después borró el paquete de npm. Sin embargo, eliminarlo no resuelve el problema: todas las versiones instaladas anteriormente siguen funcionando y reenviando el correo. Esto significa que muchas empresas aún están comprometidas y pueden no saber de la filtración.

Este caso puso de manifiesto un defecto fundamental en la arquitectura MCP. A diferencia de los paquetes habituales, se crean específicamente para el uso autónomo por asistentes de IA. La máquina no puede reconocer código malicioso: para ella, el envío de correos con una dirección adicional parece la ejecución exitosa de un comando. De este modo, una puerta trasera sencilla pasa desapercibida y actúa hasta que alguien la descubre.

Los expertos de Koi recomiendan eliminar postmark-mcp en las versiones 1.0.16 y superiores, rotar las credenciales que pudieron transmitirse por correo y revisar minuciosamente los registros en busca de reenvíos a giftshop.club. Además, la empresa aconseja reconsiderar el uso de los servidores MCP en general: sin verificación independiente, esas herramientas se convierten en el principal vector de ataques contra las compañías.

Los indicadores de compromiso incluyen el paquete postmark-mcp en la versión 1.0.16 y posteriores, la dirección phan@giftshop[.]club y el dominio giftshop[.]club. La comprobación es posible mediante el análisis de los encabezados de los correos para detectar BCC ocultos, la auditoría de las configuraciones MCP y las instalaciones de npm.