SmartLoader clona el MCP del anillo Oura para ejecutar un ataque a la cadena de suministro
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumen
SmartLoader utilizó cuentas falsas de GitHub y un servidor MCP clonado de Oura Ring para contaminar registros MCP. El servidor troyanizado luego entregó el infostealer StealC, diseñado para robar credenciales de desarrolladores, datos de billeteras de criptomonedas e información de salud. La actividad muestra cómo las integraciones de salud habilitadas por IA pueden convertirse en un punto de apoyo en la cadena de suministro.
Investigación
Los investigadores mapearon al menos cinco perfiles fabricados de GitHub que bifurcaron el repositorio real de Oura MCP y publicaron imitaciones. Se subió un fork malicioso bajo una nueva cuenta y se envió a los registros MCP. El análisis dinámico encontró payloads basados en LuaJIT almacenados en la carpeta AppData del usuario y persistencia a través de tareas programadas que simulan controladores de audio Realtek.
Mitigación
Auditar los inventarios del servidor MCP, aplicar verificaciones de procedencia antes de la instalación y alertar sobre tareas programadas que inicien ejecutables desde AppData. Aplicar controles de salida y bloquear el tráfico hacia endpoints conocidos de criptomonedas y C2. Validar el historial de contribuyentes de GitHub y el linaje de repositorios durante la aprobación.
Respuesta
Al detectar, aislar la estación de trabajo, terminar las tareas maliciosas, eliminar ejecutables no autorizados de AppData y rotar credenciales y claves API expuestas. Revisar forénsicamente el servidor MCP comprometido y fortalecer la verificación de dependencias para prevenir reinfecciones.
Flujo de Ataque
Detecciones
Tarea Programada Sospechosa (vía auditoría)
Ver
IOCs (DestinationIP) para detectar: SmartLoader Clona Oura Ring MCP para Desplegar Ataque a la Cadena de Suministro
Ver
IOCs (SourceIP) para detectar: SmartLoader Clona Oura Ring MCP para Desplegar Ataque a la Cadena de Suministro
Ver
Ejecución Sospechosa del Intérprete LuaJIT en AppData [Creación de Procesos de Windows]
Ver
Detección del Ecosistema Falso de GitHub de SmartLoader [Servidor Web]
Ver
Ejecución de Simulación
Prerequisito: Se debe haber aprobado la Verificación Previa de Telemetría y Línea Base.
Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa reflejan directamente las TTPs identificadas y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.
-
Narrativa del Ataque y Comandos:
Un atacante hospedando un repositorio falso de GitHub (por ejemplo,https://github.com/SiddhiBagul/MCP-oura) copia el payload legítimo de SmartLoader, lo reetiqueta y lo hace públicamente accesible. Un host interno comprometido luego ejecuta un script que descarga el repositorio malicioso víacurl. Esta acción produce una solicitud HTTP GET registrada por el proxy, coincidiendo con una de las URLs indicadoras en la regla. -
Script de Prueba de Regresión:
#!/usr/bin/env bash # Simulación de descarga falsa de SmartLoader de GitHub – desencadena la regla Sigma MALICIOUS_URLS=( "https://github.com/SiddhiBagul/MCP-oura" "https://github.com/YuzeHao2023/MCP-oura" "https://github.com/punkpeye/MCP-oura" "https://github.com/dvlan26/MCP-oura" "https://github.com/halamji/MCP-oura" "https://github.com/yzhao112/MCP-oura" ) for url in "${MALICIOUS_URLS[@]}"; do echo "[+] Obteniendo repositorio malicioso: $url" # La bandera -L sigue redirecciones; -s silencia el progreso; -o descarta la salida. curl -s -L -o /dev/null "$url" done echo "[+] Simulación completa." -
Comandos de Limpieza:
# No se persistieron archivos, pero limpia el historial del shell de las URLs history -d $(history | grep -n "github.com" | cut -d: -f1) echo "[+] Limpieza completada – URLs removidas del historial."