Primeiro Servidor MCP Malicioso Detectado na Wild

Uma Nova Era de Ameaças à Cadeia de Suprimentos de Software

A comunidade de cibersegurança acaba de testemunhar um marco preocupante: o primeiro servidor Model Context Protocol (MCP) malicioso documentado em ambiente real. O pacote npm postmark-mcp, desenvolvido pelo usuário “phanpak”, foi comprometido na versão 1.0.16 para exfiltrar silenciosamente todos os emails dos usuários. Neste artigo do Blog Dolutech, vamos explorar em profundidade este ataque sofisticado que representa uma nova classe de ameaça ao ecossistema de inteligência artificial.

Entendendo o Model Context Protocol (MCP)

Antes de mergulharmos no ataque, é fundamental compreender o que é o MCP. Introduzido pela Anthropic em novembro de 2024, o Model Context Protocol é um padrão aberto que padroniza como aplicações de IA se conectam com fontes de dados externas. A Dolutech tem acompanhado de perto essa tecnologia desde seu lançamento.

Arquitetura do MCP

O protocolo implementa uma arquitetura cliente-servidor elegante:

Hosts: Aplicações com as quais os usuários interagem, como Claude Desktop ou IDEs especializadas

Clientes: Componentes que residem dentro do Host e gerenciam as conexões com servidores MCP

Servidores: Programas externos que expõem ferramentas, recursos e prompts através de uma API padronizada

Camada de Transporte: Comunicação realizada via STDIO ou HTTP com Server-Sent Events (SSE), utilizando JSON-RPC 2.0

Pense no MCP como um “USB-C para aplicações de IA” – uma metáfora perfeita para descrever sua função unificadora. Ele resolve o problema “M×N” de integração, onde M diferentes aplicações de IA precisariam de N integrações customizadas para cada sistema externo.

Anatomia do Ataque ao postmark-mcp

Perfil do Atacante

O servidor malicioso foi publicado por um desenvolvedor que utilizava o pseudônimo “phanpak”. Baseado em Paris, França, este atacante mantém 31 outros pacotes no npm e operou de forma extremamente sofisticada. A análise da Dolutech revela que ele construiu credibilidade meticulosamente ao longo de 15 versões antes de introduzir o código malicioso.

Metodologia em Três Fases

O atacante executou uma estratégia clássica de “rug pull”:

Fase 1 – Estabelecimento de Confiança: Publicou 15 versões completamente limpas do pacote postmark-mcp, copiando fielmente a biblioteca oficial da Postmark Labs. Durante esse período, desenvolvedores integraram a ferramenta em seus fluxos de trabalho diários.

Fase 2 – Inserção Maliciosa: Na versão 1.0.16, lançada em 17 de setembro de 2025, adicionou uma única linha de código na linha 231 do arquivo principal.

Fase 3 – Exfiltração Silenciosa: O código modificado automaticamente adicionava BCC (cópia oculta) de todos os emails enviados para “phan@giftshop.club“, domínio controlado pelo atacante.

Impacto Quantificado

Os números são alarmantes:

• 1.643 downloads totais do pacote malicioso
• 1.500 downloads semanais no período de atividade
• 3.000 a 15.000 emails por dia sendo exfiltrados
• 300 organizações potencialmente comprometidas (estimativa conservadora)

Dados Comprometidos

Os emails interceptados incluíam informações extremamente sensíveis:

• Redefinições de senhas e tokens de acesso
• Códigos de autenticação multifator (MFA)
• Faturas e documentos financeiros confidenciais
• Memorandos internos e comunicações estratégicas
• Informações pessoais de clientes (PII)
• Comunicações comerciais privilegiadas

Vulnerabilidades Sistêmicas do Ecossistema MCP

Falhas Arquiteturais de Segurança

Pesquisas recentes que acompanhamos na Dolutech revelam problemas fundamentais no ecossistema MCP:

• 43% dos servidores MCP sofrem de vulnerabilidades de injeção de comando
• 33% permitem buscas de URL sem restrições adequadas
• 22% vazam arquivos fora dos diretórios autorizados
• Quase 2.000 servidores MCP expostos na internet sem autenticação
• 492 servidores operam sem criptografia de tráfego

Problemas de Autenticação por Design

O protocolo MCP possui deficiências críticas de segurança em sua concepção:

Autenticação Opcional: O MCP não exige autenticação obrigatória por padrão, deixando a decisão para os desenvolvedores

Delegação de Confiança Problemática: Agentes de IA executam comandos dos servidores MCP sem questionamento ou validação adicional

Ausência de Sandboxing: Servidores MCP frequentemente operam com privilégios elevados, sem isolamento adequado

Top 5 Vulnerabilidades Críticas do MCP

Segundo análises de segurança, as ameaças mais graves incluem:

1. Prompt Injection (Crítico 10/10): Manipulação de instruções fornecidas à IA
2. Command Injection (Crítico 10/10): Execução de comandos arbitrários no sistema operacional
3. Tool Poisoning (Crítico 9/10): Envenenamento de ferramentas com comportamento malicioso
4. Remote Code Execution (Crítico 10/10): Execução remota de código no host
5. Acesso Não Autenticado (Crítico 9/10): Conexões sem verificação de identidade

CVE-2025-6514: Vulnerabilidade Crítica no mcp-remote

Contexto Técnico

Paralelamente ao caso postmark-mcp, pesquisadores da JFrog descobriram uma vulnerabilidade crítica no pacote mcp-remote:

• CVE-2025-6514
• CVSS Score: 9.6/10 (Crítico)
• Versões Afetadas: 0.0.5 a 0.1.15
• Downloads Impactados: Mais de 437.000
• Tipo: Injeção de comando OS via endpoint de autorização

Mecanismo de Exploração

A vulnerabilidade permite que servidores MCP maliciosos executem comandos arbitrários no sistema operacional do cliente durante o processo de autorização OAuth:

1. Cliente MCP conecta-se ao servidor malicioso via mcp-remote
2. Servidor responde com authorization_endpoint contendo payload malicioso
3. mcp-remote tenta abrir a URL no navegador do sistema
4. Injeção de comando resulta em execução arbitrária de código

Exemplo de Mitigação

# Verificar versão instalada
npm list mcp-remote

# Atualizar para versão corrigida
npm install mcp-remote@0.1.16

# Alternativa: desinstalar se não for essencial
npm uninstall mcp-remote

Ataques de Supply Chain: Contexto em 2025

Estatísticas Preocupantes

O ataque postmark-mcp ocorre em um cenário de escalada dramática:

• 40% de aumento em ataques relacionados à cadeia de suprimentos desde 2023
• Mais de 500 pacotes npm comprometidos pelo worm “Shai-Hulud”
• Dobro da taxa usual de ataques de supply chain em 2025
• 45% das organizações experimentarão ataques às suas cadeias de suprimentos até o final de 2025

Casos Recentes Relacionados

O ecossistema npm enfrentou múltiplos ataques sofisticados este ano:

Campanha Shai-Hulud: Worm auto-propagante que infectou mais de 180 pacotes, replicando-se automaticamente através de dependências

Ataque S1ngularity: Comprometimento massivo de tokens de publicação de ferramentas populares como Nx

Ataque Chalk/Debug: Comprometimento de 18 pacotes amplamente utilizados em ambientes de desenvolvimento

Cryptocurrency Stealer: Malware direcionado especificamente a transações de criptomoedas e aplicações web3

Resposta da Indústria e Contramedidas

Declaração da Postmark Labs

A Postmark Labs emitiu uma declaração enfática negando qualquer envolvimento:

“Queremos deixar cristalino: a Postmark não teve absolutamente nada a ver com este pacote ou com a atividade maliciosa. Um ator malicioso criou um pacote falso no npm se passando pelo nosso nome, construiu confiança ao longo de 15 versões, depois adicionou um backdoor na versão 1.0.16.”

Medidas Implementadas

Remoção Imediata: O desenvolvedor removeu o pacote do npm após ser contatado por pesquisadores de segurança

Alertas de Segurança: npm, GitHub e organizações de segurança emitiram avisos urgentes

Correções de Vulnerabilidade: mcp-remote foi corrigido na versão 0.1.16

Ferramentas de Detecção: Desenvolvimento do mcp-scan para identificar servidores maliciosos

Implicações para Segurança Empresarial

Riscos Emergentes

A Dolutech identificou riscos sistêmicos para organizações:

Shadow AI: Servidores MCP não rastreados em inventários de ativos de TI

Bypass de Controles: Evasão de sistemas DLP, gateways de email e outras proteções tradicionais

Escalação de Privilégios: Execução com privilégios completos dos assistentes de IA sem supervisão

Persistência: Mesmo após remoção do npm, instalações existentes continuam vulneráveis

Setores Mais Vulneráveis

Nossas análises indicam maior exposição em:

• Desenvolvimento de Software: Ambientes com múltiplas integrações MCP e automação intensiva
• Serviços Financeiros: Dados sensíveis em comunicações automatizadas e transações
• Manufatura: Cadeias de suprimentos digitalizadas orientadas por IA
• Saúde: Dispositivos conectados e dados confidenciais de pacientes

Recomendações de Segurança da Dolutech

Para Desenvolvedores

Verificação de Fonte: Sempre verificar repositórios oficiais antes de instalar qualquer pacote MCP. Confirme que o pacote está listado na documentação oficial do provedor.

Revisão de Código: Examinar código-fonte e changelogs meticulosamente em cada atualização, especialmente para mudanças mínimas que podem ocultar backdoors.

Sandboxing Obrigatório: Executar servidores MCP em contêineres Docker isolados ou ambientes virtualizados:

# Exemplo de containerização segura
FROM node:18-alpine
RUN addgroup -S mcpuser && adduser -S mcpuser -G mcpuser
USER mcpuser
WORKDIR /app
COPY --chown=mcpuser:mcpuser package*.json ./
RUN npm ci --only=production
COPY --chown=mcpuser:mcpuser . .
CMD ["node", "server.js"]

Monitoramento Ativo: Implementar logs de auditoria abrangentes para todas as ações de agentes de IA:

// Exemplo de logging de ações MCP
function logMCPAction(action, server, data) {
  console.log(JSON.stringify({
    timestamp: new Date().toISOString(),
    action: action,
    server: server,
    data: sanitizeData(data),
    user: getCurrentUser()
  }));
}

Para Organizações

Inventário de Ativos: Mapear todos os servidores MCP em uso através de ferramentas como mcp-scan

Políticas de Aprovação: Implementar processo rigoroso de vetting para novos servidores antes da implantação em produção

Monitoramento de Rede: Detectar comunicações não autorizadas através de análise de tráfego:

• Bloquear domínios suspeitos
• Alertas para conexões a IPs não conhecidos
• Inspeção de pacotes para padrões de exfiltração

Resposta a Incidentes: Desenvolver playbooks específicos para compromissos de servidores MCP:

1. Isolamento imediato do servidor comprometido
2. Rotação de todas as credenciais potencialmente expostas
3. Análise forense de logs de email e comunicações
4. Notificação às partes afetadas

Medidas Técnicas Críticas

Autenticação Obrigatória: Implementar OAuth 2.1 ou API keys robustas em todos os servidores MCP

Validação de Entrada: Sanitização rigorosa de todos os inputs recebidos de servidores MCP

Princípio do Menor Privilégio: Limitar permissões ao mínimo necessário para funcionamento

Isolamento de Rede: Usar allow-lists estritas e segmentação de rede para servidores MCP

Atualizações de Segurança: Manter todos os componentes atualizados com patches de segurança

Perspectivas Futuras

Evolução das Ameaças

Especialistas em segurança preveem escalada significativa:

Ataques Orientados por IA: Malware que se adapta dinamicamente ao comportamento de detecção

Poisoning de Ferramentas: Manipulação sofisticada de descrições e metadados para enganar sistemas de IA

Cross-Server Exfiltration: Ataques coordenados que exploram múltiplos servidores simultaneamente

Living Off AI: Uso aparentemente legítimo de fluxos de trabalho de IA para fins maliciosos

Necessidade de Padronização

A comunidade de segurança MCP está desenvolvendo:

Especificações de Autorização: Padrões obrigatórios de autenticação e criptografia

Frameworks de Auditoria: Ferramentas automatizadas de análise de segurança para servidores MCP

Certificação de Servidores: Processos de vetting e certificação para servidores confiáveis

Monitoramento Comportamental: Sistemas de detecção de anomalias em tempo real usando machine learning

Conclusão

A descoberta do primeiro servidor MCP malicioso representa um marco crítico na evolução das ameaças cibernéticas. O caso postmark-mcp demonstra como atacantes podem explorar a confiança implícita no ecossistema de IA para realizar ataques de supply chain sofisticados e de larga escala.

Com o ecossistema MCP crescendo rapidamente – mais de 1.000 conectores open-source emergiram até início de 2025 – a necessidade de medidas de segurança robustas tornou-se urgente. O protocolo, projetado primariamente para funcionalidade em vez de segurança, criou vulnerabilidades fundamentais que não podem ser completamente mitigadas sem mudanças arquiteturais significativas.

Nós da Dolutech acreditamos que organizações devem tratar servidores MCP como componentes críticos da superfície de ataque. A combinação de ataques de supply chain em crescimento exponencial, vulnerabilidades sistêmicas no MCP e a adoção acelerada de IA empresarial cria uma tempestade perfeita para futuros incidentes de segurança.

A era da IA conectada trouxe capacidades transformadoras, mas também riscos que exigem uma abordagem proativa e abrangente à segurança cibernética. É fundamental que desenvolvedores e organizações implementem controles rigorosos, monitoramento contínuo e assumam que prompt injection e tool poisoning serão explorados ativamente por adversários.