Los investigadores de ciberseguridad han descubierto lo que se ha descrito como la primera instancia de un protocolo de contexto modelo ( MCP ) servidor descubierto en estado salvaje, lo que aumenta los riesgos de la cadena de suministro de software.
Según Koi Security, un desarrollador con aspecto legítimo consiguió introducir código falso en un paquete npm llamado» matasello-mcp «que copiaba una biblioteca oficial de Postmark Labs del mismo nombre. La funcionalidad maliciosa se introdujo en la versión 1.0.16, que se publicó el 17 de septiembre de 2025.
La biblioteca «postmark-mcp» actual, disponible en GitHub , expone un servidor MCP para permitir a los usuarios enviar correos electrónicos, acceder y utilizar plantillas de correo electrónico y realizar un seguimiento de las campañas mediante asistentes de inteligencia artificial (IA).
Desde entonces, el desarrollador ha eliminado de npm el paquete npm en cuestión» phan pak », quién subido se envía al repositorio el 15 de septiembre de 2025 y mantiene otros 31 paquetes. La biblioteca de JavaScript atraídos un total de 1.643 descargas.
«Desde la versión 1.0.16, ha estado copiando silenciosamente todos los correos electrónicos al servidor personal del desarrollador», dijo Idan Dardikman, director de tecnología de Koi Security dijo . «Es la primera vez en el mundo que se ve un servidor MCP malicioso en el mundo real. La superficie de ataque de los ataques a los terminales de la cadena de suministro se está convirtiendo poco a poco en la mayor superficie de ataque de las empresas».
El paquete malicioso es una réplica de la biblioteca original, excepto por un cambio de una línea agregado en la versión 1.0.16 que básicamente reenvía todos los correos electrónicos enviados mediante el servidor MCP a la dirección de correo electrónico «phan @giftshop [.] club» mediante BCC, lo que podría exponer las comunicaciones confidenciales.
«La puerta trasera matasellos mcp no es sofisticada, es embarazosamente simple», dijo Dardikman. «Pero demuestra perfectamente lo estropeado que está todo este sistema. Un desarrollador. Una línea de código. Miles y miles de correos electrónicos robados».
Se recomienda a los desarrolladores que hayan instalado el paquete npm que lo eliminen inmediatamente de sus flujos de trabajo, roten las credenciales que puedan haber estado expuestas por correo electrónico y revisen los registros de correo electrónico para ver si hay tráfico de BCC al dominio del que se informa.
«Los servidores MCP suelen funcionar con un alto nivel de confianza y amplios permisos dentro de las cadenas de herramientas de los agentes. Por lo tanto, cualquier dato que manejen puede ser confidencial (restablecimientos de contraseñas, facturas, comunicaciones con los clientes, notas internas, etc.)», dijo Snyk dijo . «En este caso, la puerta trasera de este servidor MCP se creó con la intención de recopilar y filtrar correos electrónicos para los flujos de trabajo de las agencias que dependían de este servidor MCP».
Los hallazgos ilustran cómo los actores de amenazas siguen abusando de la confianza de los usuarios asociada con el ecosistema de código abierto y el incipiente ecosistema MCP en su beneficio, especialmente cuando se implementan en entornos críticos para la empresa sin las garantías adecuadas.