Duy Linh
Writer
Các doanh nghiệp đang rầm rộ ứng dụng máy chủ MCP, thứ công cụ được ví như cấp "chế độ thần thánh" cho trợ lý AI, cho phép chúng gửi email, chạy truy vấn cơ sở dữ liệu và tự động hóa các tác vụ nhàm chán. Nhưng có một câu hỏi quan trọng ít ai đặt ra: Ai là người tạo ra những công cụ quyền năng này? Sự thật đáng báo động đã được hé lộ với sự xuất hiện của máy chủ MCP độc hại đầu tiên trong thực tế - postmark-mcp - âm thầm đánh cắp mọi email mà nó xử lý.
Máy chủ MCP độc hại bị phát hiện đang đánh cắp email nhạy cảm bằng cách sử dụng tác nhân AI
Một dòng đơn giản có thể đánh cắp hàng ngàn email.
Ẩn sâu trong dòng mã số 231 là một lệnh duy nhất, trông có vẻ vô hại: Một trường BCC ẩn, sao chép lén lút mọi email gửi đi đến một máy chủ cá nhân do kẻ tấn công kiểm soát - giftshop.club. Từ email đặt lại mật khẩu, hóa đơn, bản ghi nhớ nội bộ cho đến các tài liệu mật, tất cả đều có thêm một "hành khách không mời mà đến".
Điều đáng sợ nằm ở phương pháp tấn công. Kẻ xấu đã sao chép mã nguồn hợp lệ từ kho lưu trữ GitHub chính thức của ActiveCampaign, chèn vào dòng mã độc hại rồi xuất bản nó dưới cùng một tên gói trên npm. Đây là một vụ mạo danh kinh điển, hoàn hảo đến từng chi tiết, chỉ để lộ ở một dòng mã phản bội.
trang NPM của postmark-mcp.
Sự nguy hiểm của cuộc tấn công này nằm ở tính đơn giản của nó. Kẻ tấn công không cần khai thác các lỗ hổng zero-day phức tạp. Chính chúng ta, với tư cách là một cộng đồng, đã tự trao chìa khóa cửa cho họ: Quyền gửi email thay mặt chúng ta, truy cập cơ sở dữ liệu, thực thi lệnh hệ thống và gọi API với đầy đủ thẩm quyền. Rồi chúng ta để các trợ lý AI tự do hoạt động với những quyền năng đó mà không có bất kỳ sự giám sát, hạn chế hay "hộp cát" bảo vệ nào.
Lý do khiến máy chủ MCP về cơ bản dễ bị tổn thương là vì chúng hoạt động tự động. Trợ lý AI của bạn không thể phát hiện ra trường BCC ẩn; nó chỉ đơn giản thấy lệnh "gửi email" đã thành công. Trong khi đó, mọi thông điệp đều bị âm thầm chuyển hướng. Khi bị phát hiện, tác giả của postmark-mcp đã im lặng và sau đó xóa gói khỏi npm, nhưng việc đó không thể xóa sạch các hệ thống đã bị nhiễm.
Sự cố này không chỉ là câu chuyện về một nhà phát triển độc hại, mà là hồi chuông cảnh tỉnh cho toàn bộ hệ sinh thái MCP. Chúng ta đã quá dễ dãi trong việc cài đặt các công cụ từ những nguồn không rõ ràng và cho phép trợ lý AI sử dụng chúng một cách mù quáng. Nếu bạn đang sử dụng postmark-mcp từ phiên bản 1.0.16 trở lên, hãy gỡ cài đặt ngay lập tức và thay đổi mọi thông tin đăng nhập có thể đã bị lộ. Hơn thế, hãy kiểm tra kỹ lưỡng mọi máy chủ MCP trong môi trường của bạn: Ai đã xây dựng nó? Bạn có thể xác minh danh tính tác giả? Nó có được đánh giá bảo mật thường xuyên không? Trong thế giới của máy chủ MCP, sự hoài nghi là cần thiết để sinh tồn.
Đọc chi tiết tại đây: https://gbhackers.com/mcp-server/
Máy chủ MCP độc hại bị phát hiện đang đánh cắp email nhạy cảm bằng cách sử dụng tác nhân AI
Cú lừa hoàn hảo và cánh cửa hậu bí mật
Kể từ khi ra mắt, postmark-mcp đã được tải xuống 1.500 lần mỗi tuần và tích hợp suôn sẻ vào hàng trăm quy trình làm việc của các nhà phát triển. Các phiên bản từ 1.0.0 đến 1.0.15 hoạt động hoàn hảo và nhận được nhiều lời khen ngợi, trở thành một công cụ thiết yếu. Mọi thứ chỉ vỡ lở khi phiên bản 1.0.16 được phát hành.
Một dòng đơn giản có thể đánh cắp hàng ngàn email.
Ẩn sâu trong dòng mã số 231 là một lệnh duy nhất, trông có vẻ vô hại: Một trường BCC ẩn, sao chép lén lút mọi email gửi đi đến một máy chủ cá nhân do kẻ tấn công kiểm soát - giftshop.club. Từ email đặt lại mật khẩu, hóa đơn, bản ghi nhớ nội bộ cho đến các tài liệu mật, tất cả đều có thêm một "hành khách không mời mà đến".
Điều đáng sợ nằm ở phương pháp tấn công. Kẻ xấu đã sao chép mã nguồn hợp lệ từ kho lưu trữ GitHub chính thức của ActiveCampaign, chèn vào dòng mã độc hại rồi xuất bản nó dưới cùng một tên gói trên npm. Đây là một vụ mạo danh kinh điển, hoàn hảo đến từng chi tiết, chỉ để lộ ở một dòng mã phản bội.
trang NPM của postmark-mcp.
Mối đe dọa thầm lặng và bài học cảnh tỉnh
Theo ước tính thận trọng, khoảng 20% lượt tải xuống hàng tuần đang được sử dụng, tương đương với khoảng 300 tổ chức bị xâm phạm. Nếu mỗi tổ chức gửi từ 10 đến 50 email mỗi ngày, thì đồng nghĩa với 3.000 đến 15.000 vụ đánh cắp dữ liệu bất hợp pháp xảy ra mỗi ngày. Và đáng lo ngại là chưa có dấu hiệu nào cho thấy sự việc chậm lại.Sự nguy hiểm của cuộc tấn công này nằm ở tính đơn giản của nó. Kẻ tấn công không cần khai thác các lỗ hổng zero-day phức tạp. Chính chúng ta, với tư cách là một cộng đồng, đã tự trao chìa khóa cửa cho họ: Quyền gửi email thay mặt chúng ta, truy cập cơ sở dữ liệu, thực thi lệnh hệ thống và gọi API với đầy đủ thẩm quyền. Rồi chúng ta để các trợ lý AI tự do hoạt động với những quyền năng đó mà không có bất kỳ sự giám sát, hạn chế hay "hộp cát" bảo vệ nào.
Lý do khiến máy chủ MCP về cơ bản dễ bị tổn thương là vì chúng hoạt động tự động. Trợ lý AI của bạn không thể phát hiện ra trường BCC ẩn; nó chỉ đơn giản thấy lệnh "gửi email" đã thành công. Trong khi đó, mọi thông điệp đều bị âm thầm chuyển hướng. Khi bị phát hiện, tác giả của postmark-mcp đã im lặng và sau đó xóa gói khỏi npm, nhưng việc đó không thể xóa sạch các hệ thống đã bị nhiễm.
Sự cố này không chỉ là câu chuyện về một nhà phát triển độc hại, mà là hồi chuông cảnh tỉnh cho toàn bộ hệ sinh thái MCP. Chúng ta đã quá dễ dãi trong việc cài đặt các công cụ từ những nguồn không rõ ràng và cho phép trợ lý AI sử dụng chúng một cách mù quáng. Nếu bạn đang sử dụng postmark-mcp từ phiên bản 1.0.16 trở lên, hãy gỡ cài đặt ngay lập tức và thay đổi mọi thông tin đăng nhập có thể đã bị lộ. Hơn thế, hãy kiểm tra kỹ lưỡng mọi máy chủ MCP trong môi trường của bạn: Ai đã xây dựng nó? Bạn có thể xác minh danh tính tác giả? Nó có được đánh giá bảo mật thường xuyên không? Trong thế giới của máy chủ MCP, sự hoài nghi là cần thiết để sinh tồn.
Đọc chi tiết tại đây: https://gbhackers.com/mcp-server/
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
