एक नकली एन. पी. एम. पैकेज ने एक हमलावर के पते पर गुप्त रूप से बी. सी. सी. ईमेल द्वारा संवेदनशील डेटा चुरा लिया। A fake npm package stole sensitive data by secretly BCCing emails to an attacker's address.

"पोस्टमार्क-एम. सी. पी". नामक एक दुर्भावनापूर्ण एन. पी. एम. पैकेज ने एक वैध पोस्टमार्क उपकरण का प्रतिरूपण किया, गुप्त रूप से दैनिक हजारों ईमेल को एक हमलावर-नियंत्रित पते पर भेजा। A malicious npm package named "postmark-mcp" impersonated a legitimate Postmark tool, secretly BCCing thousands of emails daily to an attacker-controlled address. एक सप्ताह में लगभग 1,500 बार डाउनलोड किए गए नकली पैकेज ने पासवर्ड रीसेट और वित्तीय विवरण सहित संवेदनशील डेटा को चुराने के लिए खुले मॉडल कॉन्टेक्स्ट प्रोटोकॉल (एमसीपी) पारिस्थितिकी तंत्र का फायदा उठाया। The fake package, downloaded around 1,500 times in a week, exploited the open Model Context Protocol (MCP) ecosystem to steal sensitive data including password resets and financial details. सुरक्षा शोधकर्ताओं ने वैध पोस्टमार्क GitHub कोड के आधार पर कोड की एक पंक्ति के लिए बैकडोर का पता लगाया, ईमेल को "phan@giftshop[.]club" पर रूट किया। Security researchers traced the backdoor to a single line of code based on legitimate Postmark GitHub code, routing emails to "phan@giftshop[.]club." समझौता किए गए एम. सी. पी. सर्वर से जुड़ी इस घटना ने ओपन-सोर्स निर्भरताओं और ए. आई. उपकरण एकीकरण में प्रणालीगत जोखिमों को उजागर किया। The incident, linked to a compromised MCP server, exposed systemic risks in open-source dependencies and AI tool integration. गिटहब कम टोकन जीवनकाल और प्रकाशन के लिए अनिवार्य दो-कारक प्रमाणीकरण के साथ एन. पी. एम. सुरक्षा को कड़ा करके प्रतिक्रिया दे रहा है। GitHub is responding by tightening npm security with shorter token lifetimes and mandatory two-factor authentication for publishing. पोस्टमार्क और एक्टिवकैम्पेन ने किसी भी संलिप्तता की पुष्टि नहीं की और उपयोगकर्ताओं से पैकेज को हटाने, लॉग की समीक्षा करने और क्रेडेंशियल्स को घुमाने का आग्रह किया। Postmark and ActiveCampaign confirmed no involvement and urged users to remove the package, review logs, and rotate credentials.