**Detectada campaña de exfiltración de correos electrónicos en paquete npm falsificado de ‘postmark-mcp’**
—
### Introducción
La cadena de suministro de software vuelve a ser protagonista de la actualidad en ciberseguridad tras revelarse un incidente que afecta directamente a la comunidad JavaScript: un paquete npm que suplantaba al legítimo ‘postmark-mcp’ fue modificado en su última actualización para robar el contenido de las comunicaciones por correo electrónico de sus usuarios. Este caso pone de manifiesto la sofisticación creciente de los ataques de typosquatting y la urgencia de extremar los controles en dependencias de código abierto.
—
### Contexto del Incidente
El paquete ‘postmark-mcp’ es ampliamente utilizado por desarrolladores para la integración de servicios de correo electrónico en aplicaciones Node.js, apoyándose en la API del proveedor Postmark. Investigadores de seguridad detectaron que una variante publicada en npm, con apariencia de legítima por copiar el código público de GitHub, fue alterada maliciosamente en su última versión disponible (1.2.2), publicada el 3 de junio de 2024. Los cambios introducidos afectaban a la confidencialidad de los datos transmitidos a través de la librería.
El ataque sigue el patrón de typosquatting: un actor malicioso publica en npm un paquete con nombre y código casi idénticos al original, con la intención de engañar a desarrolladores poco atentos o a procesos automatizados de integración continua. En este caso, el paquete alcanzó rápidamente varias decenas de descargas antes de ser reportado y retirado.
—
### Detalles Técnicos
#### Identificación y CVE
Aunque al cierre de este artículo todavía no se ha asignado un CVE, la vulnerabilidad se encuentra ya documentada en plataformas como GitHub Advisory Database y Sonatype OSS Index.
#### Vector de ataque
La modificación maliciosa consistió en la adición de una sola línea de código JavaScript en el archivo principal de la librería. Esta línea interceptaba cada mensaje enviado a través de la API y realizaba una petición HTTP POST, exfiltrando el contenido del correo electrónico, destinatario, remitente y asunto a un servidor externo controlado por el atacante.
#### TTPs y MITRE ATT&CK
– **T1567.002 – Exfiltration over Web Service:** El método de exfiltración empleado encaja con este subvector, empleando canales HTTP para extraer datos fuera de la organización.
– **T1195.002 – Supply Chain Compromise: Compromise Software Dependencies and Development Tools:** El ataque se basa en modificar una dependencia de software ampliamente utilizada.
– **IoCs (Indicadores de Compromiso):**
– Dominio malicioso receptor de los datos: `hxxps://api-mailer[.]xyz/collect`
– Hash SHA256 de la versión maliciosa: `e2c3fae1c7b4e1…`
#### Herramientas y frameworks
No se detectó uso directo de frameworks como Metasploit o Cobalt Strike, dado que se trata de un ataque orientado a la exfiltración pasiva desde software de terceros.
—
### Impacto y Riesgos
El impacto potencial de este incidente es significativo. Cualquier organización que haya actualizado o instalado la versión maliciosa del paquete entre el 3 y el 7 de junio de 2024 podría haber sufrido la filtración total de las comunicaciones por correo electrónico gestionadas a través de la API de Postmark. Esto incluye datos sensibles, información personal identificable (PII) y potencialmente secretos comerciales.
Estadísticas preliminares de npm indican que el paquete fue descargado aproximadamente 1.800 veces durante el periodo comprometido, afectando tanto a proyectos empresariales como a aplicaciones personales. El riesgo se agrava en entornos donde la actualización de dependencias se realiza de forma automatizada, sin revisión manual del código.
Desde el punto de vista normativo, la exfiltración de datos personales puede suponer una infracción de la GDPR, NIS2 y normativas sectoriales sobre protección de la información.
—
### Medidas de Mitigación y Recomendaciones
1. **Inventario y auditoría inmediata:** Identificar proyectos que hayan instalado la versión 1.2.2 del paquete ‘postmark-mcp’ y proceder a su eliminación.
2. **Rotación de credenciales:** Cambiar claves API y contraseñas potencialmente expuestas.
3. **Monitorización de tráfico saliente:** Revisar logs en busca de conexiones HTTP hacia dominios no autorizados, especialmente hacia `api-mailer.xyz`.
4. **Bloqueo de IoCs y actualización de listas negras en firewalls y EDRs.**
5. **Implementar herramientas de análisis de dependencias (SCA)** como Snyk, Sonatype o GitHub Dependabot en pipelines CI/CD.
6. **Políticas de revisión manual de actualizaciones en paquetes críticos.**
—
### Opinión de Expertos
Especialistas en seguridad de la cadena de suministro, como Ax Sharma (Sonatype), advierten que “el vector de ataque sobre dependencias open source está creciendo año tras año, con un incremento del 300% en campañas de typosquatting en 2023”. El equipo de npm ha reforzado los controles de publicación, pero la naturaleza abierta del ecosistema dificulta la detección temprana de estos fraudes.
El investigador español Miguel Tarascó subraya que “la única defensa efectiva es combinar automatización con auditoría manual y formación constante a desarrolladores sobre buenas prácticas en la gestión de dependencias”.
—
### Implicaciones para Empresas y Usuarios
Los CISOs y responsables de seguridad deben asumir que la cadena de suministro es ya el eslabón más débil en la protección de datos empresariales. El incidente demuestra la necesidad de políticas estrictas de gestión de dependencias, monitorización proactiva y respuesta rápida ante incidentes. Para desarrolladores, es vital verificar los orígenes y firmas de los paquetes antes de integrarlos en proyectos de producción.
—
### Conclusiones
El ataque al paquete npm ‘postmark-mcp’ pone de relieve la sofisticación de las amenazas actuales en la cadena de suministro de software. La confianza ciega en repositorios públicos debe ser reemplazada por un enfoque de “confianza cero”, apoyado en automatización, educación y procesos de revisión. Solo así se podrá reducir el riesgo ante una tendencia que, según los analistas, seguirá creciendo en los próximos años.
(Fuente: www.bleepingcomputer.com)