Ein einziger bösartiger npm-Codezeile führt zu massiver Postmark‑E‑Mail‑Diebstahl
Anzeige
Ein bösartiger npm‑Paket-Upload hat die Sicherheit von Postmark erschüttert. Durch einen einzigen Code‑Eintrag konnte ein Angreifer sämtliche ausgehenden E‑Mails abfangen und an eine eigene Adresse weiterleiten.
Das manipulierte Paket, das sich als Postmark‑MCP (Model Context Protocol) ausgab, nutzte Typosquatting, um Entwickler zu täuschen. Sobald das Paket installiert wurde, kopierte die versteckte Zeile jede gesendete Nachricht und schleuste sie heimlich an einen externen Server.
Die Angreifer konnten damit potenziell tausende E‑Mails pro Tag stehlen, ohne dass die betroffenen Unternehmen es bemerkten. Postmark hat inzwischen die betroffene Version zurückgezogen und arbeitet an einer umfassenden Sicherheitsüberprüfung.
Ähnliche Artikel
Analytics Vidhya
•
7 MCP Projects That You Must Do Before 2025 Ends!
The Register – Headlines
•
Invisible npm malware pulls a disappearing act – then nicks your tokens
Ars Technica – AI
•
Atlas nutzt OpenAI-Agenten, um das Web zu durchsuchen – Ergebnis im Überblick
AI News (TechForge)
•
MCP‑Prompt‑Hijacking: JFrog deckt neue AI‑Sicherheitslücke auf
VentureBeat – AI
•
Under the hood of AI agents: A technical guide to the next frontier of gen AI
arXiv – cs.AI
•
Ax-Prover: A Deep Reasoning Agentic Framework for Theorem Proving in Mathematics and Quantum Physics