Insiden Pertama Malicious MCP Server: Ancaman Baru di Rantai Pasokan Perangkat Lunak
Peneliti keamanan siber baru-baru ini menemukan kasus pertama di dunia nyata dari server Model Context Protocol (MCP) yang bersifat jahat, menandai risiko serius pada rantai pasokan perangkat lunak. Menurut laporan Koi Security, seorang pengembang yang terlihat sah berhasil menyisipkan kode berbahaya di dalam paket npm bernama postmark-mcp, yang meniru pustaka resmi dari Postmark Labs dengan nama sama. Fungsi berbahaya ini muncul pada versi 1.0.16, dirilis pada 17 September 2025.
Pustaka postmark-mcp asli, yang tersedia di GitHub, memungkinkan pengguna untuk mengirim email, mengakses dan menggunakan template email, serta melacak kampanye menggunakan bantuan kecerdasan buatan (AI). Namun, paket npm palsu yang diunggah oleh pengembang dengan username "phanpak" pada 15 September 2025 telah dihapus setelah ditemukan. Paket ini tercatat memiliki total 1.643 unduhan.
Versi berbahaya ini menyalin setiap email yang dikirim melalui server MCP ke alamat email pengembang "phan@giftshop[.]club" melalui mekanisme BCC, sehingga berpotensi mengekspos komunikasi sensitif. Menurut Chief Technology Officer Koi Security, Idan Dardikman, “Postmark-mcp backdoor tidaklah kompleks, tapi ini membuktikan betapa rapuhnya sistem ini. Satu pengembang, satu baris kode, dan ribuan email berhasil dicuri.”
Para pengembang yang pernah menginstal paket ini disarankan segera menghapusnya dari alur kerja mereka, mengganti kredensial yang mungkin telah terekspos melalui email, dan memeriksa log email untuk aktivitas BCC mencurigakan. Snyk menambahkan, server MCP biasanya memiliki kepercayaan tinggi dan izin luas dalam agent toolchains, sehingga data yang ditangani bisa sangat sensitif, termasuk pengaturan ulang kata sandi, faktur, komunikasi pelanggan, hingga memo internal. Backdoor ini dirancang khusus untuk mengekstrak email dari alur kerja yang bergantung pada MCP server tersebut.
Temuan ini menyoroti bagaimana aktor ancaman terus memanfaatkan kepercayaan pengguna terhadap ekosistem open-source, termasuk ekosistem MCP yang masih baru, untuk keuntungan mereka, terutama ketika diterapkan dalam lingkungan bisnis kritikal tanpa pengamanan yang memadai.
Dalam pernyataan resmi, Postmark menegaskan bahwa paket npm postmark-mcp bukanlah paket resmi mereka. Platform pengiriman email ini menyatakan bahwa paket palsu dibuat oleh pihak jahat yang meniru nama mereka untuk mencuri data email. “Kami tidak mengembangkan, mengotorisasi, atau memiliki keterlibatan apapun dengan paket npm 'postmark-mcp'. API dan layanan resmi Postmark tetap aman dan tidak terpengaruh oleh insiden ini,” jelas pihak Postmark.
Insiden ini menjadi peringatan penting bagi pengembang dan perusahaan yang mengandalkan paket open-source: keamanan rantai pasokan perangkat lunak bukan hanya soal kode yang terlihat sah, tetapi juga validasi terhadap setiap dependensi yang digunakan dalam lingkungan produksi.