非官方Postmark MCP npm包悄然窃取用户电子邮件引发安全警示

近日有报告指出，一个名为“postmark-mcp”的非官方npm包在未明确告知用户的情况下，暗中收集并窃取开发者的电子邮件信息。据披露，该包未经Postmark官方认可，却悄悄地将处理过的用户邮件数据发送至指定服务器，危及开发者隐私与项目信任安全。

该恶意包通过巧妙伪装，诱骗开发者误认为其为正牌组件，且在npm下载平台上悄然传播。安全专家呼吁，相关用户应立即检查自身项目依赖，及时删除该风险包，并更换为官方渠道提供的安全版本，以防数据失窃和进一步安全威胁。