Ein einziger bösartiger npm-Codezeile führt zu massiver Postmark‑E‑Mail‑Diebstahl
Anzeige
Ein bösartiger npm‑Paket-Upload hat die Sicherheit von Postmark erschüttert. Durch einen einzigen Code‑Eintrag konnte ein Angreifer sämtliche ausgehenden E‑Mails abfangen und an eine eigene Adresse weiterleiten.
Das manipulierte Paket, das sich als Postmark‑MCP (Model Context Protocol) ausgab, nutzte Typosquatting, um Entwickler zu täuschen. Sobald das Paket installiert wurde, kopierte die versteckte Zeile jede gesendete Nachricht und schleuste sie heimlich an einen externen Server.
Die Angreifer konnten damit potenziell tausende E‑Mails pro Tag stehlen, ohne dass die betroffenen Unternehmen es bemerkten. Postmark hat inzwischen die betroffene Version zurückgezogen und arbeitet an einer umfassenden Sicherheitsüberprüfung.
Ähnliche Artikel
O’Reilly Radar
•
MCP: KI-Integration neu definiert – aber Datenhinterhalt birgt versteckte Kosten
The Register – Headlines
•
USA verlangt künftig 5 Jahre Social‑Media‑Daten für visafreie Einreise
arXiv – cs.AI
•
Praktischer Leitfaden für Agenten-AI-Workflows: Design, Entwicklung, Bereitstellung
The Register – Headlines
•
Windows Insider erhalten Einblick in Microsofts agentisches OS
arXiv – cs.AI
•
MCP-AI: Protokollgesteuertes KI-Framework für autonome klinische Entscheidungen
arXiv – cs.AI
•
Neues Benchmark für LLM-Agenten: Blocksworld mit Model Context Protocol