SOC Prime Bias: Kritisch

18 Feb 2026 13:17 UTC

SmartLoader klont die Oura Ring MCP, um einen Supply-Chain-Angriff zu inszenieren

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Folgen
SmartLoader klont die Oura Ring MCP, um einen Supply-Chain-Angriff zu inszenieren
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Zusammenfassung

SmartLoader nutzte gefälschte GitHub-Konten und einen geklonten Oura Ring MCP-Server, um MCP-Registrierungen zu kontaminieren. Der trojanisierte Server lieferte dann den StealC-Infostealer, der entwickelt wurde, um Entwickler-Credentials, Crypto-Wallet-Daten und Gesundheitsinformationen zu stehlen. Die Aktivität zeigt, wie KI-gestützte Gesundheitsintegrationen zu einem Einstiegspunkt in der Lieferkette werden können.

Untersuchung

Forscher kartierten mindestens fünf gefälschte GitHub-Profile, die das echte Oura MCP-Repository geforkt und Lookalikes veröffentlicht hatten. Ein bösartiger Fork wurde unter einem neuen Konto gepusht und bei MCP-Registrierungen eingereicht. Dynamische Analysen fanden auf LuaJIT-basierte Payloads im AppData-Ordner des Benutzers und Persistenz durch geplante Aufgaben, die als Realtek-Audiotreiber getarnt waren.

Abschwächung

Auditieren Sie MCP-Server-Bestände, erzwingen Sie Herkunftsüberprüfungen vor der Installation und alarmieren Sie bei geplanten Aufgaben, die ausführbare Dateien aus AppData starten. Wenden Sie Ausgangskontrollen an und blockieren Sie den Datenverkehr zu bekannten Kryptowährungs- und C2-Endpunkten. Validieren Sie GitHub-Beitragshistorie und Repository-Abstammung während der Genehmigung.

Antwort

Bei Erkennung isolieren Sie den Arbeitsplatz, beenden Sie die bösartigen Aufgaben, entfernen Sie nicht autorisierte ausführbare Dateien aus AppData und drehen Sie exponierte Anmeldeinformationen und API-Schlüssel. Überprüfen Sie den kompromittierten MCP-Server forensisch und verschärfen Sie die Überprüfung von Abhängigkeiten, um eine erneute Infektion zu verhindern.

Angriffsablauf

Simulationsausführung

Voraussetzung: Der Telemetrie- & Basislinientest vor dem Flug muss bestanden sein.

Begründung: Dieser Abschnitt erläutert die genaue Ausführung der Angreifertechnik (TTP), die darauf abzielt, die Erkennungsregel auszulösen. Die Befehle und die Erzählung spiegeln direkt die identifizierten TTPs wider und sollen die genaue Telemetrie erzeugen, die von der Erkennungslogik erwartet wird.

  • Angriffserzählung & Befehle:
    Ein Angreifer, der ein gefälschtes GitHub-Repository hostet (z.B. https://github.com/SiddhiBagul/MCP-oura) kopiert die legitime SmartLoader-Payload, re-branded sie und macht sie öffentlich zugänglich. Ein kompromittierter interner Host führt später ein Skript aus, das das bösartige Repository über curlherunterlädt. Diese Aktion erzeugt eine HTTP-GET-Anfrage, die vom Proxy aufgezeichnet wird und mit einer der Indikator-URLs in der Regel übereinstimmt.

  • Regressionstest-Skript:

    #!/usr/bin/env bash
    # SmartLoader-Fake-GitHub-Download-Simulation – löst die Sigma-Regel aus
    
    MALICIOUS_URLS=(
        "https://github.com/SiddhiBagul/MCP-oura"
        "https://github.com/YuzeHao2023/MCP-oura"
        "https://github.com/punkpeye/MCP-oura"
        "https://github.com/dvlan26/MCP-oura"
        "https://github.com/halamji/MCP-oura"
        "https://github.com/yzhao112/MCP-oura"
    )
    
    for url in "${MALICIOUS_URLS[@]}"; do
        echo "[+] Hole bösartiges Repository: $url"
        # Die -L-Flagge folgt Weiterleitungen; -s unterdrückt Fortschritt; -o verwirft Ausgabe.
        curl -s -L -o /dev/null "$url"
    done
    
    echo "[+] Simulation abgeschlossen."
  • Aufräumbefehle:

    # Keine Dateien wurden beibehalten, aber löschen Sie die Shell-Historie der URLs
    history -d $(history | grep -n "github.com" | cut -d: -f1)
    echo "[+] Bereinigung abgeschlossen – URLs aus der Historie entfernt."