文章总结： 本文披露全球首例AIMCP服务器供应链投毒事件，黑客在NPM发布恶意包postmark-mcp，通过前15个干净版本建立信任后植入恶意代码，利用BCC密送窃取约300至500家企业数万封机密邮件，事件暴露AI时代供应链安全新风险，建议开发者严格审查第三方依赖。 综合评分： 62 文章分类： 供应链安全,AI安全,威胁情报,漏洞分析,安全建设

【AI安全】首个 AI MCP 服务器遭“投毒”！数万机密邮件被掏空

原创

Oxo Security Oxo Security

Oxo Security

2026年3月5日 21:46 吉林

一、惊天大瓜！1500次下载偷走数万机密邮件，AI圈的“水管”被狠狠下毒了！ 😱🔥

AI 时代！人人都在深耕 AI 安全，你缺的就是这关键一步！🚀

AI 正重塑安全边界，与其在门外徘徊，不如直接掌握主动权！

整个全球Node.js开发者社区和狂热的AI极客圈，都被一颗突如其来的“深水炸弹”炸得人仰马翻！💣 谁能想到，就在大家沉浸于AI Agent（智能体）带来的自动化狂欢时，一场堪称“教科书级别”的开源软件供应链投毒攻击，已经在暗中把无数企业的“底裤”都看穿了！👀

这起事件的绝对主角，是一个名叫 postmark-mcp 的 NPM 软件包。如果你是一个紧跟潮流的开发者，大概率听说过 MCP（Model Context Protocol，模型上下文协议）。打个通俗的比方，如果说大语言模型（比如 GPT-4、Claude）是拥有超强大脑的“最强大脑”，那么 MCP 就是让这个大脑长出“手和脚”的万能转换插头🔌。通过 MCP 服务器，AI 大脑可以直接去读取你的本地文件、查询你的公司数据库，甚至——像这次事件中一样——直接动用你的企业邮箱服务去发送电子邮件！📧

而 Postmark，则是业界极其著名、口碑极佳的第三方电子邮件发送服务商（属于 ActiveCampaign 旗下）。官方提供的工具本来是安全可靠的，但是，黑客太狡猾了！🦹‍♂️ 他们在全网最大的 JavaScript 包管理平台 NPM 上，悄悄发布了一个名字看起来无比正规、极具欺骗性的“山寨货”——也就是这个恶意的 postmark-mcp 包。

这起事件为什么能被称为“首例野外爆发的 MCP 投毒案”？原因在于它的破坏力简直让人细思极恐！💥 根据安全机构 Snyk 和 Koi Security 的深度追踪和保守核算，这个带着“致命剧毒”的 NPM 包，在它存活并被强行下架之前的大约一周时间里（仅仅一周啊朋友们！），疯狂收割了约 1500 次的真实下载量！📈

你可千万别以为“区区1500次下载”算不上什么大风大浪。在企业级 AI 自动化集成的世界里，一次下载往往代表着一整个公司的后端核心业务流被污染！☠️

让我们来看看这组触目惊心的数据盘点表 📊：

| 🚨 核心灾难指标 | ⚠️ 令人窒息的真实数据与影响评估 | | — | — | | 恶意包存活时间 | 约一周 （2025年9月17日 – 9月25日左右被曝光下架）⏳ | | 累计被下载次数 | 约 1,500 – 1,643 次（直接切入开发者供应链核心）📥 | | 直接受害企业数 | 保守估计 300 家组织，最恶劣情况可能飙升至 500 家以上！🏢 | | 窃取邮件速度 | 每个受感染的组织 ，每天有 3,000 到 15,000 封邮件被偷偷传走！💸 | | 泄露数据总规模 | 合计高达成千上万封（甚至可能破十万）的绝对机密邮件！📂 | | 被盗取的敏感内容 | 🔑 密码重置链接、🛡️ 2FA 双因素验证码、💰 财务发票与打款记录、📁 内部机密商业备忘录、👥 核心客户隐私数据等！ |

试想一下这个画面：你的 AI 助手正在不知疲倦地帮你的企业自动化处理客户工单。客户忘记了密码，AI 助手乖乖地调用这个被投毒的 postmark-mcp 服务，给客户发去了一封包含“点击重置密码”的邮件。💌 看起来一切都很完美对吧？客户收到了邮件，系统没有报错，防火墙没有报警。

但是！就在邮件发出去的那一微秒，这封包含了最高权限重置链接的邮件，已经原封不动地被复制了一份，光速发送到了黑客的私人邮箱里！ 🏎️💨 黑客连你的服务器都不用黑，只要坐在电脑屏幕前舒舒服服地喝着咖啡☕，看着满屏弹出的各大企业密码重置链接、双重验证码、甚至还有你们公司刚签的千万级合同发票……这种在无声无息中完成的大规模“吸血”，才是本次供应链投毒最让人毛骨悚然的地方！👻

二、“温水煮青蛙”！黑客连装15个版本老好人，第16次更新突然露出血盆大口！ 🐸🔥

这场攻击之所以能够如此顺利地绕过无数开发者的法眼，根本原因在于黑客将“社会工程学”和“长线钓鱼”策略玩到了极致！🎣 这绝对不是那种一上来就疯狂破坏系统的无脑病毒，而是一场蓄谋已久、极度耐心的“潜伏计划”。🕵️‍♂️

1. 极致的身份伪装术：披着羊皮的狼 🐺

如果你在 NPM 平台上点开这个包的发布者信息，你会发现一个名为 “phanpak” 的账号。这个账号可不是昨天才注册的三无小号。在黑客精心设计的“人设”里，这位 phanpak 先生自称是一名来自浪漫之都巴黎的资深软件工程师 🗼💻。如果顺藤摸瓜去查他的 GitHub 主页，你甚至能看到几个实实在在的、看起来完全正常的开源项目提交记录。

不仅如此，在 postmark-mcp 恶意包的 package.json 元数据配置文件里，攻击者还特意留下了诸如 “Jabal Torres” 这种看似无比真实的作者姓名 👨‍💻。这就好比一个间谍潜入你的公司，不仅穿得西装革履，还带着名牌大学的毕业证、有着几年的光鲜履历。面对这样一位“热心肠”为开源社区贡献 AI 工具代码的“海外大佬”，绝大多数开发者在 npm install（安装依赖包）的那一瞬间，根本不会升起任何防备之心。🚫🛡️

2. 极限拉扯的“温水煮青蛙”策略：从 1.0.0 到 1.0.15 的“完美演出” 🎭

这是整个攻击链条中最阴险的一环！黑客并没有在第一个版本里就放入恶意代码。相反，postmark-mcp 从 1.0.0 版本一路老老实实地更新到了 1.0.15 版本。在这多达 15 次的版本迭代中，这个工具包的表现堪称完美无瑕：

• • 它确确实实地封装了官方的 Postmark API。
• • 它的代码风格工整，逻辑清晰。
• • 它非常完美地兼容了最新的 MCP 协议标准。
• • 安全扫描工具查它？干干净净，全是绿灯！✅

这 15 个干净的版本，就像是黑客在开发者社区里发出的 15 封“良民证”。它成功骗过了自动化代码审计工具（SCA），骗过了各种依赖更新机器人（比如 Dependabot），更骗过了无数每天忙着赶进度、赶 DDL（截止日期）的程序员们。大家看着这个包用起来这么顺手，更新又频繁，纷纷把它添加到了自己核心项目的依赖列表里，甚至设置了“允许自动接收补丁更新”。🔄

就在所有人对它彻底放下戒心、把它当成 AI 工作流中不可或缺的“好帮手”时，致命的 1.0.16 版本，悄然而至！ 🗡️🩸

从 1.0.16 版本开始，黑客认为“鱼儿已经上钩”，时机彻底成熟。他只在代码的汪洋大海里，塞进去了短短的一小段逻辑。这段逻辑不会导致系统崩溃，不会大量占用 CPU，也不会引起网络网关的疯狂报警。它安静得就像一粒微尘，但却瞬间打通了通往黑客“老巢”的数据高速公路。🛤️

3. 神秘的“幽灵邮箱”：giftshop[.]club 👻

根据安全专家后续的抽丝剥茧，黑客用来接收这几万封海量机密邮件的接收端，是一个硬编码在代码里的外部邮箱域名：giftshop[.]club（具体邮箱为 [email protected]）。🎁

这个域名乍一看，就像是个卖礼品、搞促销的垃圾网站。它和严肃的电子邮件发送服务、和高大上的 AI 协议没有任何半毛钱关系。安全人员研判认为，这个域名完全处于该攻击者的绝对控制之下，甚至可能只是他名下众多用来搞灰色产业的副业项目之一。把窃取数据的服务器伪装成一个看似人畜无害甚至有点荒诞的“礼品店俱乐部”域名，这不仅是一种技术上的隐蔽，更像是一种黑客对受害者的无声嘲讽。🃏

4. 事情败露后的“光速跑路🏃‍♂️💨

时间来到 2025 年 9 月 25 日前后，当眼尖的 Koi Security 安全研究人员终于察觉到代码深处的猫腻，并通过邮件和工单试图联系这位所谓的“巴黎软件工程师 phanpak”进行对质时，你猜发生了什么？

没有任何辩解，没有任何借口。这位开发者在收到询问后，犹如惊弓之鸟，第一时间登录 NPM 平台，自己亲手把 postmark-mcp 这个包给彻底删除了！ 🗑️ 这种“光速删库跑路”的行为，简直是不打自招，彻底坐实了这起开源投毒事件的恶意本质。他试图用删除包的方式来销毁作案工具和罪证，企图将自己从这场风暴中摘除。但雁过留声，安全机构早就留存了所有的恶意代码快照，这场精心策划的供应链骗局，终究大白于天下！🌩️

三、核心揭秘！仅仅塞进一行BCC代码，你的超级 AI 助手怎么就瞬间沦为了黑客的“头号间谍”？ 🕵️‍♂️🔍

🎯 【LLM 漏洞挖掘与 AI 安全攻防】

究竟是怎样的一行“隐形代码”，能完美绕过企业级防火墙和安全审计，让拥有极高权限的 AI 代理瞬间沦为黑客的窃密傀儡？大模型时代的 MCP 协议到底隐藏着怎样致命的底层缺陷？

👉 想要解锁这套教科书级别的“降维打击”漏洞内幕？立即加入 Oxo AI Security 知识星球，获取本章节完整的硬核技术揭秘！星球内部还有海量未公开干货

• • 📚 AI 文献解读：最前沿的 LLM 安全论文深度剖析。
• • 🐛 AI 漏洞情报：第一时间掌握主流大模型的 0-day 漏洞与越狱方式。
• • 🛡 AI 安全体系：从红队攻击到蓝队防御的全方位知识图谱。
• • 🛠 AI 攻防工具：红队专属的自动化测试与扫描工具箱。

🚀 立即加入 Oxo AI Security 知识星球，掌握AI安全攻防核心能力！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Oxo Security Oxo Security Oxo Security《【AI安全】首个 AI MCP 服务器遭“投毒”！数万机密邮件被掏空》