Postmark arka kapısı e-postaları indiriyor

 (koi.security)
2 puan yazan GN⁺ 2025-09-28 | 1 yorum | WhatsApp'ta paylaş
  • Son dönemde postmark-mcp modülünde kötü niyetli davranış tespit edildi
  • 1.0.16 sürümünden itibaren e-postaları geliştiricinin harici sunucusuna kopyalayan kod eklendi
  • Yüzlerce kuruluşun hassas e-postalarının sızmasına yol açan yapısal bir zafiyet ortaya çıktı
  • MCP sunucularında güven modelinin olmaması, tedarik zinciri saldırısı riskini büyütüyor
  • Tüm MCP kullanıcılarının hemen inceleme yapması ve kaldırma adımı atması gerekiyor

MCP sunucularının gerçeği ve postmark-mcp olayının özeti

  • MCP sunucuları, yapay zeka asistanlarının e-posta gönderme, veritabanı sorgusu çalıştırma gibi tekrarlayan işleri otomatik olarak yürütmesini sağlayan araçlardır
  • Bu araçlar çok yüksek yetkilerle çalışır ve geliştiricilerin yazdığı kodlar neredeyse tamamen güvene dayalı olarak kurulur; fiilen bir doğrulama sistemi yoktur
  • Popüler paket postmark-mcp, resmi Postmark GitHub deposundaki kaynak kodu alıp buna kötü niyetli bir BCC satırı ekledikten sonra npm'de aynı adla yayımladı
  • 1.0.16 sürümünden itibaren normal çalışan koda tek satır eklenerek tüm e-postaların geliştiricinin kişisel sunucusuna (giftshop.club) kopyalanması sağlandı
  • Yani parola sıfırlama, faturalar, iç notlar ve gizli belgeler dahil tüm e-posta bilgileri ifşa oldu

Anormal davranışın tespiti ve saldırı yapısı

  • Koi'nin Risk Engine sistemi 1.0.16 sürümünde anormal belirtiler tespit etti
  • Geliştiricinin kimliği GitHub gibi yerlerde normal görünüyordu ve ilk 15 sürüm sorunsuz çalışarak güven oluşturdu
  • 1.0.16'da yalnızca tek satırlık kodla kritik bilgileri dışarı sızdıran işlev eklendi
  • Saldırgan, kodu kopyalarken aynı zamanda mevcut geliştiriciyi taklit etme yöntemi olan classic impersonation kullandı
  • Daha önce normal ve yaygın biçimde kullanılan araç, bir noktadan sonra güvene dayalı altyapının parçası haline gelip sonrasında kötü amaçlı davranış sergiledi

E-posta sızıntısının etkisi ve yöntemi

  • Haftada yaklaşık 1.500 indirme olduğu, bunun yaklaşık %20'sinin aktif kullanıldığı varsayıldığında yüzlerce kuruluş etkilenmiş olabilir
  • Her gün 3.000 ila 15.000 e-postanın giftshop.club adresine gönderildiği tahmin ediliyor
  • Kullanıcılar aracın davranışını tek tek doğrulamıyor ve çalıştırmayı çoğunlukla yapay zeka asistanına otomatik olarak bırakıyor
  • Ayrı bir güvenlik modeli, sandbox ya da doğrulama süreci hiç yok
  • Geliştirici paketi npm'den silmiş olsa da, daha önce kurulmuş ortamlarda bunun etkisi olmadığından veri sızıntısı devam ediyor

Saldırı aşamalarının analizi

  • 1. aşama: Meşru aracın dağıtımı

    • 1.0.0~1.0.15 sürümleri sorunsuz çalıştı ve güven topladı

  • 2. aşama: Kötü amaçlı kod ekleme

    • 1.0.16'ya tek satırlık BCC eklendi ve postaları dışarı kopyalayan işlev devreye alındı

  • 3. aşama: Bilgi toplama

    • Parolalar, API anahtarları, finansal/müşteri verileri vb. giftshop.club adresine sızdırıldı

  • Geliştiriciye ulaşılamadı; paket npm'den silinse de önceden kurulmuş ortamlardaki zarar sürüyor

MCP ekosisteminin yapısal kusurları

  • MCP sunucuları, sıradan npm paketlerinden farklı olarak yapay zeka asistanlarının otomatik biçimde yüzlerce, binlerce kez çağırdığı yüksek riskli araçlardır
  • Kodun kötü amaçlı olup olmadığını ne yapay zeka ne de mevcut güvenlik çözümleri tespit edebiliyor; sistem yalnızca güvene dayanıyor
  • Tüm MCP ekosistemi, riskli varlıklar üzerindeki tüm yetkileri anonim geliştiricilere devreden tehlikeli bir yapıya sahip
  • Davranış değişimini tespit ederek saldırıları belirleme ve tedarik zinciri geçidi gibi güvenlik kontrollerine ihtiyaç var
  • Koi, Risk Engine ve gateway ile benzer kötü amaçlı paketlerin girişini engelleme ve doğrulama çalışmaları yürütüyor

Müdahale yöntemi ve IOC

  • Kötü amaçlı paket: postmark-mcp (npm)
  • Kötü amaçlı sürüm: 1.0.16 ve üzeri
  • Sızıntı yapılan e-posta: phan@giftshop[.]club
  • Alan adı: giftshop[.]club

Tespit yöntemi

  • E-posta günlüklerinde BCC olarak giftshop.club gönderimine dair izleri kontrol edin
  • MCP sunucusu yapılandırmasında beklenmeyen e-posta iletme parametrelerini inceleyin
  • postmark-mcp 1.0.16 ve üzeri sürümlerin kurulum geçmişini ayrıntılı olarak gözden geçirin

Müdahale ve kurtarma

  • postmark-mcp'yi derhal kaldırın
  • İhlal dönemi boyunca e-posta ile paylaşılan tüm kimlik bilgilerini döndürün
  • Ele geçirilen hassas bilgi içeren e-posta günlüklerini kapsamlı biçimde inceleyin
  • Etkilenme doğrulanırsa ilgili makamlara derhal bildirin

Sonuç ve öneriler

  • Tüm MCP sunucuları için geliştirici kimliği, kod doğrulaması ve güvenlik incelemesi süreçleri mutlaka uygulanmalı
  • MCP'nin (otomasyon odaklı yapay zeka yardımcı altyapısı) doğası gereği en azından asgari bir güvensizlik modeli ve sürekli izleme şart
  • postmark-mcp 1.0.16 ve üzeri kullanıcıları için acil kaldırma ve güvenlik önlemleri zorunlu
  • Güvene dayalı kullanımın doğrudan tedarik zinciri saldırısı riskiyle karşı karşıya olduğu unutulmamalı
  • Paranoia'yı (güvensizlik/şüphecilik) temel ilke olarak benimsemek, MCP kullanımında makul bir stratejidir

İlgili okumalar

1 yorum

 
GN⁺ 2025-09-28
Hacker News görüşleri
  • Thunderbird eklentisindeki arka kapıyla bu olayın farkının ne olduğunu merak ediyorum. Eskiden bir Thunderbird eklentisinin bakımını yapıyordum; ilgim azalınca birisi birkaç gerçek katkı yaptıktan sonra birden projeyi sürekli devralmak için bastırmaya başladı. Sonunda on binlerce posta kutusu anahtarını tanımadığım birine devretmenin saçma olduğuna karar verip reddettim. İnsanların bana baştan bu kadar güvenmiş olması da ayrı komik ama en azından ben iyi biriydim
    • Ben de aynı düşünüyorum. Bunun MCP ile özel bir ilgisi yok; tüm yazılımlar için aynı sorun geçerli. Sonuçta geliştiriciye ve sağlayıcıya güvenmek zorundasınız. Microsoft’un Outlook postalarımı kopyalamasını engelleyemem, Google’ın Gmail’i kopyalamasını da engelleyemem. Açık kaynak olup “çok sayıda göz” kodu inceliyor dense bile, bu belki popüler projeler için olur; yine de risk kalır. Sonuçta çoğu kişi geliştiricilere sadece güveniyor. Bu sorun, yazılım kadar eski kronik bir mesele
    • Senin anlattığın durumda Zuckerberg’in gizlilikle ilgili bir sözü aklıma geliyor. Neden verimizi ve mahremiyetimizi rastgele birine teslim ettiğimizi gerçekten düşünmemiz gerekiyor
    • Sarhoş ve tanımadığım insanları arabaya alıp eve bıraktığım çok oldu. Böyle yabancı birinden arabaya binmenin gerçekten tehlikeli olduğunu hep söylerim. Dürüst olmak gerekirse, benim gibi vakti olan iyi niyetli birine denk gelmeleri tamamen şans. Mahalledeki küçük bara geç giden biri olduğum için bu sık yaşanıyor galiba
  • NPM’de tek bir indirmenin yakında tekil bir kuruma eşit olduğu varsayımına katılmıyorum. Bu rakam gerçekten abartılı. npm’de bir indirme, sadece birinin (npm i komutunu çalıştıran bir kişi) ya da bir şeyin (otomasyon ortamı) kurulum yapması demek. Pratikte CI kabaca kurulmuşsa her çalıştırmada, değilse her adımda npm i çalışır. Yani 1.500 indirme aslında sadece 2 şirketten geliyor olabilir. Biri geliştiricisinin PoC için kullandığı yer, diğeri de CI ayarı darmadağın olan bir yer olabilir. Resmi repoya bakınca da sadece 1 watch, 0 fork, 2 star var https://github.com/ActiveCampaign/postmark-mcp. MCP ve tedarik zinciri sorunu başlı başına ciddi ama bu vakada gerçek etki neredeyse sıfır
    • Aynı mantıkla gidersek popüler Python paketlerinin indirme sayıları yakında dünyadaki tüm insanlığa—çocuklar, yaşlılar, bilgisayarın ne olduğunu bile bilmeyenler dahil—kişi başı bir indirme düşecek seviyeye ulaşır. https://pypistats.org/top
  • Bu yazının kendisi iyi ama neden ChatGPT ile özetlenmiş yapay zeka çevirisi bir versiyonunu okumak zorunda olduğumuzu anlamıyorum. Keşke sadece orijinal prompt gösterilseydi. Şu anki hali gereksiz yere yavaş ve kullanıcıyı küçümsüyormuş gibi hissettiriyor
    • Senin de böyle hissetmene sevindim. Ben yapay zeka müdahalesi kokan üsluptan nefret ediyorum ama arkadaşlarımın bazıları bunu hiç fark etmiyor ya da umursamıyor
  • Son zamanlarda sık görüyorum ama sanki bu araçlara tanrısal yetkiler vermemiz hakkında yeterince konuşmuyoruz. Bunlar, yapan kişinin yüzünü bile bilmediğimiz araçlar ve biz öylece güvenip teslim oluyoruz. Yapay zeka asistanları da aynı. Herkes hepsine %100 güveniyor. Bunu işaret eden yazılar var ama bana daha çok “silahın namlusunu ayağına doğrultup tetiği çekersen ayağından vurulacağını biliyor muydun??” hissi veriyor. O kadar bariz ki, yazılar sanki pek bir şey anlatmayan içerik üretmek için yazılmış gibi. İnsanlar gerçekten bu kadar habersiz mi, yoksa sadece yazı çıkarmak için mi zorlanıyorlar merak ediyorum
    • Kısa süre önce bir yapay zeka kod asistanının bir şirketin prodüksiyon veritabanını sildiğiyle ilgili bir yazı da vardı https://fortune.com/2025/07/23/ai-coding-tool-replit-wiped-database-called-it-a-catastrophic-failure/. Bunun katmanları var: 1) O kurucu, yapay zeka aracına tamamen güvenip kendi kendini vurdu. Yani gerçekten cahildi. 2) Üstelik prodüksiyon DB’ye geliştirme ortamından doğrudan erişim açmıştı. Zaten eninde sonunda patlayacak bir kurulumdu
    • HN kullanıcısına apaçık gelen şeyler, dünyanın büyük çoğunluğu için hiç de apaçık değil. Bu tür yazılar o insanlar için gerekli içerik. Gerçekte MCP sunucuları ve yapay zeka ajanı tasarımı, güvenlik daha en başta tartışılmadığı için yapısal olarak güvenli değil. İleride değişir mi bilinmez ama o zamana kadar sürekli anlatmak en iyisi
    • “İnsanlar gerçekten bu kadar mı duyarsız?” Temel SQL injection bile her yıl devasa zarara yol açmaya devam ediyor ve hâlâ OWASP’in üst sıralarında. SQL injection da sonuçta veritabanına tanrısal yetkiler verilmesi ve insanların nasıl çalıştığını anlamamasıyla ilgili bir sorun. Yapay zeka ajanlarının eylem yetkileri de kullanıcı açısından görünmez olabilir
    • MCP ile bu tür kontrolsüz erişimin büyük ölçekte yaşanıyor olması daha geniş biçimde tartışılmalı. Normalde dikkatli insanlar bile riskleri yeterince kavrayamıyor
    • Eskiden e-posta istemcisinin internetteki herhangi birinin gönderdiği gömülü script içeren postayı çalıştırması “otomasyon devrimi” diye anılırdı. Bir zamanlar çocukların TV yerine internet kullanmasının daha sağlıklı olacağını da düşünüyorduk; bunun nasıl bittiğini hepimiz bilmiyor muyuz?
  • “Rastgele birinin yaptığı aracı kurmanın normalleşmesi” deniyor ama aslında Windows XP günlerinden beri CD ripping yazılımı ya da Bonzi Buddy gibi her şeyi hiç düşünmeden kuruyorduk. Kolaylık her zaman güvenliğin önüne geçti. Bence asıl ders hâlâ şu soru: Neden hâlâ ‘sandbox, sandbox, sandbox’ gerçek olmadı? Bu olayda yapay zeka sanki mevcut tüm güvenlik ilkelerini fabrika ayarlarına döndürmüş gibi
    • “İnsanlar kolaylığı güvenliğe tercih ediyor. Neden sandbox hâlâ gerçek olmadı?” sorusunun cevabı, sandbox uygulamanın kolay olmaması. Buradaki ‘kolay’, OS tarafından varsayılan olarak sunulmasını ifade ediyor
  • Kullanıcıya, insan açıp okumasa bile, GMail üzerinden yapay zekaya prompt injection yapılmış spam e-postalar gönderilebilir https://www.linkedin.com/posts/eito-miyamura-157305121_we-got-chatgpt-to-leak-your-private-email-activity-7372306174253256704-xoX1/
  • Bu blog yazısını okumak çok zor. Yapay zeka dokunmuş gibi duruyor. Gereksiz cümle ve süs çok fazla. Yazık, çünkü konu ilginç
  • Tedarik zinciri güvenliği sorunlarında npm paketleri neredeyse her zaman anılıyor. npm en yaygın kullanılan sistem olduğu ve saldırganlar için motivasyon da yüksek olduğu için bu anlaşılır ama yine de acı bir tat bırakıyor
    • OpenAI de Codex CLI’yi npm üzerinden dağıtıyor. Rust ile yapılmış olmasına rağmen npm paketi kullanıyor. Bana göre bu mantıksız ama demek ki alternatif taraf daha da kullanışsız
    • Bu yüzden ben stdio MCP sunucuları çalıştırmıyorum. Tüm MCP’ler, izole edilmiş VM host üzerinde Docker container içinde, güvenilmeyen bir VLAN’da duruyor. Ben de sadece SSE ile bağlanıyorum. Elbette prompt injection’a karşı hâlâ savunmasız ama bunları ana tarayıcı profiline, e-postaya ya da bulut hesaplarıma bağlamıyorum. Hassas verilerden tamamen ayırıyorum
    • Yukarıdaki yorumun bu kadar fazla oy alıp bu yazının ana çıkarımıymış gibi anlaşılması pek iyi değil. O şekilde okunursa öz kaçıyor
  • Geliştiricinin bunu gerçekten kasıtlı yapmamış olması da mümkün. Ben de bazen debug kodunu kaldırmadan sürüm yayınladım. Düz bcc ise gerçekten debug kodu olabilir
    • Bunu söylemek için gelmiştim. Açıkçası kendi e-posta adresini böyle apaçık bırakmazdı. 2025’te test için kişisel Gmail kullanmak utanç verici olabilir ama yine de. Ayrıca bu sadece MCP’ye özgü bir sorun değil; herhangi bir pakette yaşanabilir
    • Paketi silmek de açıkçası güvenlik problemiyle ilk kez karşılaşan acemi bir geliştiricinin tipik tepkisi gibi. Kötü niyet değil de basit bir debug hatasıysa, iletişim her şeydir: kötü sürümü kaldırmak, yamayı yayımlamak ve blog/HN/sosyal medya gibi açık kanallarda iletişim kurmak güveni yeniden inşa etmenin yoludur. Olayın doğru zaman çizelgesi de (ve OP’deki gibi yapay zekanın yazdığı bir özet değil) güvenin geri gelmesine yardımcı olur
  • MCP sunucusu sorunu da riskli ama bence bu tür saldırılar, smtp paketi gibi dış bağımlılık kullanan her durumda yaşanabilir
    • Yine de smtp paketinde genelde doğrulanmış, uzun süredir güvenilen kütüphaneler kullanılır. MCP’de ise her şey yeni ve güven geçmişi henüz oluşmadı. Bir tür yazılım çoraklığı; bu yüzden altıpatlar dolu gezmeniz gereken bir ortam gibi