Malware in MCP-server onthult fundamenteel securityprobleem

In dit artikel:

De populaire MCP-server postmark-mcp bevatte maandenlang een verborgen backdoor die alle uitgaande e-mails heimelijk naar een externe server stuurde. Securitybedrijf Koi ontdekte het probleem toen versie 1.0.16 afwijkend gedrag liet zien; de ontwikkelaar voegde één regel toe waarmee een BCC naar giftshop.club werd geplaatst, waardoor wachtwoordresets, facturen en interne berichten werden onderschept.

Postmark-mcp had ongeveer 1.500 downloads per week en naar schatting 20% daarvan was actief in gebruik, wat neerkomt op circa 300 getroffen organisaties. Volgens de analyse leidden deze installaties tot het dagelijks doorsturen van ruwweg 3.000 tot 15.000 e-mails naar de malafide server. Het pakket oogde betrouwbaar: de maker gebruikte zijn echte naam, had een volwassen GitHub‑geschiedenis en eerdere versies werkten zonder problemen, waardoor gebruikers het vertrouwen schonken.

Het incident illustreert een groter probleem in AI‑ecosystemen: MCP‑servers (tools voor autonome AI‑assistenten) draaien vaak met volledige privileges—e-mailtoegang, databaseconnecties en API‑rechten—maar verschijnen niet altijd in asset‑inventarissen en ontsnappen zo aan vendor‑risicobeoordelingen en traditionele securitycontroles. Omdat AI‑assistenten de tools routinematig en onkritisch gebruiken, kan schadelijke wijziging onopgemerkt gegevens exfiltreren terwijl het systeem functioneel blijft.

Deze zaak benadrukt de noodzaak van strengere controles op externe componenten in AI‑stacks: actieve monitoring van gedragsveranderingen, inclusion van zulke tools in asset‑beheer en verplichte code‑audits of supply‑chain checks. Zonder zulke aanvullende maatregelen blijft het risico bestaan dat vertrouwde software plotseling als een trojaans paard fungeert en gevoelige informatie lekt.