SOC Prime Bias: Crítico

18 Feb 2026 13:17 UTC

SmartLoader clona el MCP del anillo Oura para ejecutar un ataque a la cadena de suministro

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
SmartLoader clona el MCP del anillo Oura para ejecutar un ataque a la cadena de suministro
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumen

SmartLoader utilizó cuentas falsas de GitHub y un servidor MCP clonado de Oura Ring para contaminar registros MCP. El servidor troyanizado luego entregó el infostealer StealC, diseñado para robar credenciales de desarrolladores, datos de billeteras de criptomonedas e información de salud. La actividad muestra cómo las integraciones de salud habilitadas por IA pueden convertirse en un punto de apoyo en la cadena de suministro.

Investigación

Los investigadores mapearon al menos cinco perfiles fabricados de GitHub que bifurcaron el repositorio real de Oura MCP y publicaron imitaciones. Se subió un fork malicioso bajo una nueva cuenta y se envió a los registros MCP. El análisis dinámico encontró payloads basados en LuaJIT almacenados en la carpeta AppData del usuario y persistencia a través de tareas programadas que simulan controladores de audio Realtek.

Mitigación

Auditar los inventarios del servidor MCP, aplicar verificaciones de procedencia antes de la instalación y alertar sobre tareas programadas que inicien ejecutables desde AppData. Aplicar controles de salida y bloquear el tráfico hacia endpoints conocidos de criptomonedas y C2. Validar el historial de contribuyentes de GitHub y el linaje de repositorios durante la aprobación.

Respuesta

Al detectar, aislar la estación de trabajo, terminar las tareas maliciosas, eliminar ejecutables no autorizados de AppData y rotar credenciales y claves API expuestas. Revisar forénsicamente el servidor MCP comprometido y fortalecer la verificación de dependencias para prevenir reinfecciones.

Flujo de Ataque

Ejecución de Simulación

Prerequisito: Se debe haber aprobado la Verificación Previa de Telemetría y Línea Base.

Razonamiento: Esta sección detalla la ejecución precisa de la técnica adversaria (TTP) diseñada para activar la regla de detección. Los comandos y la narrativa reflejan directamente las TTPs identificadas y tienen como objetivo generar la telemetría exacta esperada por la lógica de detección.

  • Narrativa del Ataque y Comandos:
    Un atacante hospedando un repositorio falso de GitHub (por ejemplo, https://github.com/SiddhiBagul/MCP-oura) copia el payload legítimo de SmartLoader, lo reetiqueta y lo hace públicamente accesible. Un host interno comprometido luego ejecuta un script que descarga el repositorio malicioso vía curl. Esta acción produce una solicitud HTTP GET registrada por el proxy, coincidiendo con una de las URLs indicadoras en la regla.

  • Script de Prueba de Regresión:

    #!/usr/bin/env bash
    # Simulación de descarga falsa de SmartLoader de GitHub – desencadena la regla Sigma
    
    MALICIOUS_URLS=(
        "https://github.com/SiddhiBagul/MCP-oura"
        "https://github.com/YuzeHao2023/MCP-oura"
        "https://github.com/punkpeye/MCP-oura"
        "https://github.com/dvlan26/MCP-oura"
        "https://github.com/halamji/MCP-oura"
        "https://github.com/yzhao112/MCP-oura"
    )
    
    for url in "${MALICIOUS_URLS[@]}"; do
        echo "[+] Obteniendo repositorio malicioso: $url"
        # La bandera -L sigue redirecciones; -s silencia el progreso; -o descarta la salida.
        curl -s -L -o /dev/null "$url"
    done
    
    echo "[+] Simulación completa."
  • Comandos de Limpieza:

    # No se persistieron archivos, pero limpia el historial del shell de las URLs
    history -d $(history | grep -n "github.com" | cut -d: -f1)
    echo "[+] Limpieza completada – URLs removidas del historial."