恶意服务器伪装成 Postmark-MCP 包窃取邮件
HackerNews 编译,转载请注明出处: 网络安全研究人员发现了据称是全球首例在实际环境中被检测到的恶意模型上下文协议(Model Context Protocol,简称 MCP)服务器,这一发现加剧了软件供应链面临的风险。 据 Koi 安全公司透露,一名伪装成合法开发者的人员,在一个名为 “postmark-mcp” 的 npm 包中植入了恶意代码。该恶意包与 Postmark Labs 官方同名库高度相似,其恶意功能从 2025 年 9 月 17 日发布的 1.0.16 版本开始植入。 而 GitHub 上的正版 “postmark-mcp” 库,其功能是提供一个 MCP 服务器,供用户发送电子邮件、获取并使用电子邮件模板,以及通过人工智能(AI)助手跟踪营销活动。 涉事的 npm 包已被开发者 “phanpak” 从 npm 平台删除。该开发者于 2025 年 9 月 15 日将该包上传至 npm 仓库,此外还维护着其他 31 个包。这个 JavaScript 库在被删除前,累计被下载了 1643 次。 Koi 安全公司首席技术官伊丹・达迪克曼(Idan Dardikman)表示:“自 1.0.16 版本起,这个包就一直在暗中将每封电子邮件复制到开发者的私人服务器上。这是全球首次发现现实环境中的恶意 MCP 服务器。终端供应链攻击的攻击面正逐渐成为企业面临的最大攻击面。” 该恶意包是对正版库的仿制品,唯一区别是在 1.0.16 版本中添加了一行代码 —— 这行代码会通过 “密送(BCC)” 方式,将所有通过该 MCP 服务器发送的电子邮件转发至邮箱地址 “phan@giftshop [.] club”,这一行为可能导致敏感通信内容泄露。 达迪克曼指出:“postmark-mcp 中的后门并不复杂,甚至简单到令人尴尬。但它完美地证明了整个生态体系的漏洞有多严重:一名开发者、一行代码,就能导致成千上万封邮件被窃取。” 研究人员建议已安装该 npm 包的开发者,立即从工作流程中移除该包,更换所有可能通过电子邮件泄露的凭证,并检查电子邮件日志,确认是否存在向上述域名发送密送邮件的记录。 Snyk 公司(注:知名应用安全公司)表示:“MCP 服务器通常在代理工具链中拥有较高信任度和广泛权限。因此,它们处理的所有数据都可能具有敏感性,例如密码重置邮件、发票、客户沟通记录、内部备忘录等。在本次事件中,这个 MCP 服务器中的后门被设计用于收集并窃取依赖该 MCP 服务器的智能代理工作流(agentic workflows)所产生的电子邮件。” 此次事件表明,威胁 actors(注:指从事网络攻击等恶意活动的个人或组织)仍在利用开源生态系统以及新兴的 MCP 生态系统中的用户信任谋取私利,尤其当这些系统在缺乏足够安全防护措施的情况下,被部署到企业关键业务环境中时,风险更为突出。 消息来源:thehackernews; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
俄罗斯被指开发新型间谍软件攻击电子邮件账户
HackerNews 编译,转载请注明出处: 英国国家网络安全中心(NCSC)报告称,与俄罗斯军事情报局(GRU)有关的威胁行为者一直在使用以前未知的恶意软件对受害者的电子邮件账户进行间谍活动。 这种新的复杂恶意软件被命名为“真实假象”(Authentic Antics),NCSC表示,与GRU有关的威胁组织APT28(又名Fancy Bear、Pawn Storm、Sednit、Sofacy和Iron Twilight)一直在负责部署该恶意软件。 NCSC的分析显示,“真实假象”是专门设计的,旨在通过伪装成合法活动,实现对微软云账户的持久端点访问。该恶意软件的设计投入了“大量心思”,以实现看起来像真实的微软Outlook活动的效果。 它会定期显示一个登录窗口,提示用户输入凭证,这些凭证随后会被恶意软件拦截,同时被拦截的还有用于访问微软服务的OAuth身份验证令牌。该恶意软件还会通过从受害者的账户向攻击者控制的电子邮件地址发送邮件来窃取受害者的数据,这些邮件不会出现在“已发送”文件夹中。 对该恶意软件的分析表明,它没有采用传统的命令与控制(C&C)机制,这种机制可能会增加其被检测到的可能性。 俄罗斯网络威胁持续存在 NCSC行动总监保罗·奇切斯特(Paul Chichester)评论道:“‘真实假象’恶意软件的使用,证明了俄罗斯GRU构成的网络威胁具有持续性和复杂性。多年来NCSC对GRU活动的调查表明,网络防御者不应轻视这种威胁,监控和保护行动对于防御系统至关重要。” “真实假象”恶意软件是在2023年发生一起网络事件后被发现的,该事件由微软和NCSC认证的网络事件响应服务提供商NCC Group进行了调查。 6月17日,乌克兰国家计算机应急响应小组(CERT-UA)识别出一种名为“LameHug”的新恶意软件,该机构表示,有中等把握认为该软件可能与APT28针对乌克兰安全和国防部门的网络攻击有关。 2025年5月,美国国家安全局与包括NCSC在内的盟友发布了一份联合网络安全咨询,强调了一场由俄罗斯国家支持、针对西方物流实体和科技公司的网络活动。该活动同样与APT28有关联。 英国制裁俄罗斯GRU军官 在英国政府分享“真实假象”恶意软件分析的同一天,英国政府还宣布对三个GRU单位(26165、29155和74455)以及18名GRU军官和特工实施制裁,原因是他们参与了全球范围内的网络和信息干扰行动,以支持俄罗斯更广泛的地缘政治和军事目标。 英国外交大臣戴维·拉米(David Lammy)表示:“克里姆林宫应该毫无疑问:我们看清了他们在阴影中的企图,我们不会容忍这种行为。这就是为什么我们要采取果断行动,制裁俄罗斯间谍。保护英国免受伤害是本政府‘变革计划’(Plan for Change)的根本。” 消息来源: infosecurity-magazine; 本文由 HackerNews.cc 翻译整理,封面来源于网络; 转载请注明“转自 HackerNews.cc”并附上原文
报告称美国地方选举官员的电子邮件可能受到网络钓鱼攻击的影响
根据《华尔街日报》的一份新报告,美国各地的许多选举官员正在使用的电子邮件系统可能使他们更容易受到网络钓鱼攻击的影响。Area 1 Security发现,在美国1万个州和地方选举管理机构中,只有不到20%的机构具备先进的反钓鱼控制措施,其中约666名选举官员依靠个人电子邮件地址处理选举相关事务。 据报道,几个州的司法机构正在使用一个版本的免费Exim软件,而俄罗斯GRU情报部门从2019年开始针对该软件进行在线攻击。不过,安全专家称,电子邮件安全薄弱不太可能导致选票被黑客攻击,因为电子邮件系统并没有连接到计票的系统。 但这引发了人们的担忧,即地方选举官员可能对电子邮件系统可能遭到的入侵准备不足。2016年,GRU被指控窃取和泄露希拉里-克林顿总统竞选团队的电子邮件;2018年,GRU曾注册了似乎是伪造政府网址的网络域名,表面上是为了钓鱼的目的。微软在官方认为造成任何损失之前就查封了这些域名。 而据报道,今年已经有外国黑客瞄准了为民主党推定候选人乔-拜登和特朗普总统的竞选活动工作的工作人员的个人电子邮件账户。例如据称伊朗黑客将目标对准了特朗普竞选团队工作人员的电子邮件。报告这些企图的谷歌上个月表示,没有看到这些攻击成功的证据。 (稿源:cnBeta,封面源自网络。)
美国海军陆战队成员逾 2 万份高度敏感数据泄露
外媒 3 月 1 日消息,美国海军陆战队在本周遭受了重大的数据泄露,超过 21,000 名海军陆战队员、水手以及普通公民的高度敏感信息被意外暴露在未加密的电子邮件中。据悉,邮件附件中列出了被泄露人员的个人财务详细信息,其中包括截短的社会安全号码、信用卡信息、银行路线号码、电子资金转账详情、住宅位置、邮寄地址以及紧急联系信息。 据美国海军海军陆战队时报报道,该起事件是由于美国国防部的国防旅行系统(DTS)在 2 月 26 日将一封包含高度敏感个人信息的邮件分发到错误的电子邮件名单中(未分类的 “ usmc.mil ”海军域名以及民用帐户)而造成的。目前具体有多少人接收到了邮件还并不清楚。 DTS 是美国国防部门用于管理官方授权旅行、旅行路线和差旅费用的管理系统。 事件发生后,海军陆战队发言人安德鲁·阿兰达少校在发布会上声称该事件没有涉及恶意行为,并且也已经撤回了电子邮件 ,以减少接收它的账户数量。 他表示,海军陆战队目前正在调查泄露行为的严重程度,并计划更改条例以更好地保护个人数据,避免将来发生类似事件。与此同时,他们也在努力通知那些受到数据泄露影响的人,并就减轻欺诈和身份盗窃风险提供指导。 其实这并不是美国联邦政府近年来首次发生影响军事和国防人员的重大数据泄露事件。 例如, 2015 年,美国人事管理办公室称其遭受过两起数据泄露事件,暴露了至少 2210 万人的敏感信息,其中包括现任和前任联邦雇员、承包商、以及其家人和朋友。这是美国政府历史上最具破坏性的网络抢劫案之一。从那时起,美国联邦政府就实施了一系列的措施来增强其网络安全。 不过今年 1 月份,美国国土安全部还是遭到数据泄露,暴露了超过 24 万名前任和现任雇员的敏感身份信息。 相关阅读: 美国海军数据泄露,涉 13.4 万士兵个人信息 消息来源:IBTimes,编译:榆榆,校审:FOX; 本文由 HackerNews.cc 编译整理,封面来源于网络; 转载请注明“ 转自 HackerNews.cc ” 并附上原文链接。
美军将于 2018 年 7 月开始对士兵的电子邮件进行加密处理
据外媒报道,外界可能会认为美国军方的邮件服务 mail.mil 将比 Gmail 和其他免费的替代方案更安全,但显然不是这样。2015 年外媒 Motherboard 的一项调查显示,尽管它确实有保护分类信息的系统,但它甚至没有使用 STARTTLS (纯文本通信协议扩展) 一种已推出 15 年之久的加密技术,可以防止电子邮件在发送过程中被拦截。 这将可能使未分类的电子邮件被监视,并使它们在发送过程中容易受到攻击。现在,由于认为 mail.mil 缺乏安全性,五角大楼表示,最终将开始加密士兵的电子邮件,但直到 2018 年 7 月才能开始。 此前 Gizmodo 也曾发现军方的电子邮件服务不使用 STARTTLS,因为这将阻止美国国防信息系统局( DISA )筛选含有恶意软件、网络钓鱼攻击和漏洞的消息。DISA 在一封信件表示,其使用国家级情报开发的检测方法 “将在 STARTTLS 启用后无效。” 为了能够实施该技术并将其作为默认功能,它必须迁移到 “ 新的电子邮件网关基础设施 ”,而且迁移将在明年 7 月之前完成。 DISA 已经透露其向参议员 Ron Wyden 提交了一封信件,说明迁移军队电子邮件服务的计划。Wyden 曾质疑该机构未使用 “ 基础、广泛使用及易于使用的网络安全技术 ”。Wyden 在一份声明中表示,这一举措绝对是朝着正确方向迈出的一步,但他也对还需一年时间才能完成迁移表示不满:“ 保护美国军人的通信应该是一个优先事项,所以我希望这个机构加快时间安排。” 稿源:cnBeta,封面源自网络
英国议会网络系统遭黑客攻击长达 12 小时,政界议员会议记录或被窃取
据外媒报道,英国议会网络系统于 6 月 24 日晚遭黑客攻击长达 12 小时,致使议员会议记录等重要信息被盗。获悉,黑客主要瞄准英国国会议员与英国首相 Theresa May 及其内阁成员所使用的网络系统展开攻击活动。 英国知名媒体 Guardian 报道,此次袭击事件中,黑客企图破解议员与其工作人员的薄弱登录密码,以致入侵系统并窃取政客议会记录。目前,政客极其担心黑客可能于近期进行敲诈勒索活动。英国下议院发表声明,指出他们于 23 日就已发现未经授权的用户账号企图访问议会网络。随后,议会开启防御系统,议员手机与平板电脑均无法远程访问电子邮件系统。 目前,英国众议院正与国家网络安全中心( NCSC )联合调查。此外,议会将采取有力措施保护所有账户与系统。虽然此次袭击事件的幕后黑手仍然未知,但部分专家表示该网络攻击手段疑似由俄罗斯、中国或朝鲜国家赞助的黑客组织发起。Guardian 透露,黑客不仅向受害者发送电子邮件警告,还将持续针对所有议会用户帐号展开攻击,试图识别薄弱登录密码以窃取重要信息。知情人士表示,俄罗斯黑客近期已在暗网中出售交易英国议员帐户登录凭证。 据悉,黑客是否在攻击期间成功渗透议会数据尚不清楚。AlienVault 安全倡导者 Javvad Malik 向英国媒体 IBTimes 透露,现代生活的方方面面几乎都依赖于网络数字系统,无论是政府、银行、医疗保健,还是个人生活的任何方面。因此,现今至关重要的关键在于适当投资安全基础措施,以确保迅速发现与响应网络攻击威胁。 原作者:India Ashok, 译者:青楚 本文由 HackerNews.cc 翻译整理,封面来源于网络。 转载请注明“转自 HackerNews.cc ” 并附上原文链接