Sự gia tăng của các máy chủ MCP (Managed Computing Platforms) – những công cụ cấp quyền “god-mode” cho trợ lý AI để gửi email, thực hiện truy vấn cơ sở dữ liệu và tự động hóa tác vụ – đã đặt ra một thách thức bảo mật mới. Trong bối cảnh đó, máy chủ MCP độc hại đầu tiên trong thế giới thực, postmark-mcp, đã xuất hiện, âm thầm thực hiện rò rỉ dữ liệu của mọi email nó xử lý.

Kể từ khi phát hành ban đầu, postmark-mcp đã được tải xuống 1.500 lần mỗi tuần, tích hợp liền mạch vào hàng trăm quy trình làm việc của nhà phát triển. Các phiên bản từ 1.0.0 đến 1.0.15 hoạt động không có vấn đề, nhận được nhiều lời giới thiệu tích cực, khiến nó trở thành một phần thiết yếu trong quy trình phát triển.

Kỹ Thuật Tấn Công và Hoạt Động Của Mã Độc postmark-mcp

Phiên bản 1.0.16 của postmark-mcp chứa một chỉ thị tưởng chừng vô hại tại dòng 231 của mã nguồn: một trường BCC ẩn, sao chép mọi email gửi đi tới máy chủ cá nhân của kẻ tấn công là giftshop.club. Điều này có nghĩa là các email đặt lại mật khẩu, hóa đơn, ghi nhớ nội bộ và tài liệu mật đều có một “khách không mời” âm thầm chuyển tiếp bản sao.

Chiến Thuật Giả Mạo và Lan Truyền

Điều đáng lo ngại là phương pháp của kẻ tấn công: sao chép mã hợp pháp từ kho lưu trữ GitHub chính thức của ActiveCampaign, chèn dòng mã độc và xuất bản nó dưới cùng tên gói trên nền tảng npm. Đây là một phương pháp giả mạo cổ điển, hoàn hảo về mọi chi tiết ngoại trừ dòng mã phản bội đó.

Công cụ phát hiện rủi ro của Koi Security đã gắn cờ postmark-mcp sau khi phát hiện những thay đổi hành vi đáng ngờ trong phiên bản 1.0.16. Các nhà nghiên cứu đã dịch ngược bản cập nhật và phát hiện ra việc chèn BCC này. Thông tin chi tiết về phát hiện này có thể tham khảo tại blog của Koi Security: Koi Security Blog.

Với ước tính thận trọng rằng 20% số lượt tải xuống hàng tuần đang được sử dụng tích cực, khoảng 300 tổ chức có nguy cơ bị xâm nhập. Nếu mỗi tổ chức gửi 10–50 email hàng ngày, điều này tương đương với 3.000–15.000 vụ rò rỉ dữ liệu trái phép mỗi ngày.

Sự Khác Biệt Của MCP Servers và Rủi Ro Tiềm Tàng

Các máy chủ MCP khác với các gói npm tiêu chuẩn; chúng hoạt động tự chủ, tích hợp với các trợ lý AI thực hiện mọi lệnh mà không cần hỏi. Điều này tạo ra một lỗ hổng đáng kể, vì trợ lý AI không thể phát hiện trường BCC ẩn. Nó chỉ thấy “gửi email – thành công,” trong khi mọi tin nhắn đều bị âm thầm đánh cắp.

Các nhà phát triển thường cấp quyền truy cập email và cơ sở dữ liệu đầy đủ cho máy chủ MCP mà không cân nhắc kỹ lưỡng, khiến các hệ thống này trở thành mục tiêu lý tưởng cho các cuộc tấn công mạng tinh vi.

Tác Động và Phản Ứng Sau Sự Cố

Khi được hỏi về vụ việc, tác giả của postmark-mcp đã im lặng, sau đó xóa gói khỏi npm trong một nỗ lực tuyệt vọng để xóa bằng chứng. Tuy nhiên, việc xóa khỏi npm không làm sạch các hệ thống đã bị lây nhiễm. 1.500 lượt cài đặt hàng tuần vẫn tiếp tục hoạt động, không hề hay biết về backdoor.

Sự cố này không chỉ là về một nhà phát triển độc hại; nó là một lời cảnh báo về toàn bộ hệ sinh thái MCP. Cộng đồng đã bình thường hóa việc cài đặt công cụ từ những người lạ và để trợ lý AI sử dụng chúng mà không có sự giám sát. Mỗi gói, mỗi bản cập nhật đều trở thành một phần của cơ sở hạ tầng quan trọng, cho đến khi bị khai thác.

Chỉ Số Thỏa Hiệp (IOCs)

Các tổ chức nên kiểm tra nhật ký mạng và hệ thống của mình để phát hiện bất kỳ dấu hiệu liên lạc nào với các IOC sau:

• Tên miền độc hại:giftshop.club
• Phiên bản gói độc hại:postmark-mcp từ 1.0.16 trở lên

Biện Pháp Phòng Ngừa và Khắc Phục Đối Phó Với Rủi Ro Bảo Mật

Nếu bạn đang sử dụng postmark-mcp phiên bản 1.0.16 trở lên, hãy gỡ bỏ nó ngay lập tức và xoay vòng mọi thông tin đăng nhập đã bị lộ. Tuy nhiên, sự cố này đòi hỏi một đánh giá rộng hơn về an ninh mạng.

Các Bước Cần Thực Hiện:

• Kiểm tra toàn diện: Kiểm tra mọi máy chủ MCP trong môi trường của bạn.
• Đặt câu hỏi: Ai đã xây dựng công cụ này? Bạn có thể xác minh tác giả của nó không? Nó có trải qua các đánh giá bảo mật thường xuyên không?
• Thận trọng: Đối với các máy chủ MCP, sự thận trọng không bao giờ là thừa. Chúng ta đã cấp cho những người lạ quyền “god-mode”; đã đến lúc yêu cầu xác minh thay vì tin tưởng mù quáng.

Các công cụ bảo mật truyền thống thường khó phát hiện các hành vi bất thường như BCC ẩn. Cần có các giải pháp tiên tiến có thể phát hiện các điểm bất thường trong hành vi trước khi thiệt hại xảy ra, góp phần nâng cao an toàn thông tin cho hệ thống.