SmartLoader klont die Oura Ring MCP, um einen Supply-Chain-Angriff zu inszenieren
Detection stack
- AIDR
- Alert
- ETL
- Query
Zusammenfassung
SmartLoader nutzte gefälschte GitHub-Konten und einen geklonten Oura Ring MCP-Server, um MCP-Registrierungen zu kontaminieren. Der trojanisierte Server lieferte dann den StealC-Infostealer, der entwickelt wurde, um Entwickler-Credentials, Crypto-Wallet-Daten und Gesundheitsinformationen zu stehlen. Die Aktivität zeigt, wie KI-gestützte Gesundheitsintegrationen zu einem Einstiegspunkt in der Lieferkette werden können.
Untersuchung
Forscher kartierten mindestens fünf gefälschte GitHub-Profile, die das echte Oura MCP-Repository geforkt und Lookalikes veröffentlicht hatten. Ein bösartiger Fork wurde unter einem neuen Konto gepusht und bei MCP-Registrierungen eingereicht. Dynamische Analysen fanden auf LuaJIT-basierte Payloads im AppData-Ordner des Benutzers und Persistenz durch geplante Aufgaben, die als Realtek-Audiotreiber getarnt waren.
Abschwächung
Auditieren Sie MCP-Server-Bestände, erzwingen Sie Herkunftsüberprüfungen vor der Installation und alarmieren Sie bei geplanten Aufgaben, die ausführbare Dateien aus AppData starten. Wenden Sie Ausgangskontrollen an und blockieren Sie den Datenverkehr zu bekannten Kryptowährungs- und C2-Endpunkten. Validieren Sie GitHub-Beitragshistorie und Repository-Abstammung während der Genehmigung.
Antwort
Bei Erkennung isolieren Sie den Arbeitsplatz, beenden Sie die bösartigen Aufgaben, entfernen Sie nicht autorisierte ausführbare Dateien aus AppData und drehen Sie exponierte Anmeldeinformationen und API-Schlüssel. Überprüfen Sie den kompromittierten MCP-Server forensisch und verschärfen Sie die Überprüfung von Abhängigkeiten, um eine erneute Infektion zu verhindern.
Angriffsablauf
Erkennungen
Verdächtige geplante Aufgabe (über Audit)
Ansehen
IOCs (DestinationIP) zur Erkennung: SmartLoader klont Oura Ring MCP, um Lieferkettenangriff zu starten
Ansehen
IOCs (SourceIP) zur Erkennung: SmartLoader klont Oura Ring MCP, um Lieferkettenangriff zu starten
Ansehen
Verdächtige LuaJIT-Interpreter-Ausführung in AppData [Windows Prozess-Erstellung]
Ansehen
Erkennung des gefälschten GitHub-Ökosystems von SmartLoader [Webserver]
Ansehen
Simulationsausführung
Voraussetzung: Der Telemetrie- & Basislinientest vor dem Flug muss bestanden sein.
Begründung: Dieser Abschnitt erläutert die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung spiegeln direkt die identifizierten TTPs wider und sollen die genaue Telemetrie erzeugen, die von der Erkennungslogik erwartet wird.
-
Angriffserzählung & Befehle:
Ein Angreifer, der ein gefälschtes GitHub-Repository hostet (z.B.https://github.com/SiddhiBagul/MCP-oura) kopiert die legitime SmartLoader-Payload, re-branded sie und macht sie öffentlich zugänglich. Ein kompromittierter interner Host führt später ein Skript aus, das das bösartige Repository übercurlherunterlädt. Diese Aktion erzeugt eine HTTP-GET-Anfrage, die vom Proxy aufgezeichnet wird und mit einer der Indikator-URLs in der Regel übereinstimmt. -
Regressionstest-Skript:
#!/usr/bin/env bash # SmartLoader-Fake-GitHub-Download-Simulation – löst die Sigma-Regel aus MALICIOUS_URLS=( "https://github.com/SiddhiBagul/MCP-oura" "https://github.com/YuzeHao2023/MCP-oura" "https://github.com/punkpeye/MCP-oura" "https://github.com/dvlan26/MCP-oura" "https://github.com/halamji/MCP-oura" "https://github.com/yzhao112/MCP-oura" ) for url in "${MALICIOUS_URLS[@]}"; do echo "[+] Hole bösartiges Repository: $url" # Die -L-Flagge folgt Weiterleitungen; -s unterdrückt Fortschritt; -o verwirft Ausgabe. curl -s -L -o /dev/null "$url" done echo "[+] Simulation abgeschlossen." -
Aufräumbefehle:
# Keine Dateien wurden beibehalten, aber löschen Sie die Shell-Historie der URLs history -d $(history | grep -n "github.com" | cut -d: -f1) echo "[+] Bereinigung abgeschlossen – URLs aus der Historie entfernt."