SOC Prime Bias: Critico

18 Feb 2026 13:17 UTC

SmartLoader Clona l’MCP dell’Oura Ring per Mettere in Scena un Attacco alla Catena di Fornitura

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Segui
SmartLoader Clona l’MCP dell’Oura Ring per Mettere in Scena un Attacco alla Catena di Fornitura
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Sommario

SmartLoader ha utilizzato falsi account GitHub e un server MCP clon di Oura Ring per contaminare i registri MCP. Il server trojanizzato ha poi distribuito l’infostealer StealC, progettato per rubare credenziali di sviluppatori, dati di cripto-portafogli e informazioni sanitarie. L’attività mostra come le integrazioni sanitarie abilitate dall’AI possano diventare un punto d’appoggio per la catena di fornitura.

Indagine

I ricercatori hanno mappato almeno cinque profili GitHub fabbricati che hanno forkato il vero repository Oura MCP e pubblicato somiglianze. Un fork dannoso è stato caricato sotto un nuovo account e inviato ai registri MCP. L’analisi dinamica ha trovato payload basati su LuaJIT organizzati nella cartella AppData dell’utente e la persistenza tramite task pianificati che si mascheravano da driver audio Realtek.

Mitigazione

Verificare gli inventari del server MCP, applicare controlli di provenienza prima dell’installazione e allertare sui task programmati che avviano eseguibili da AppData. Applicare controlli di uscita e bloccare il traffico verso endpoint noti di criptovaluta e C2. Convalidare la storia dei contributori GitHub e la genealogia del repository durante l’approvazione.

Risposta

Al rilevamento, isolare la workstation, terminare i task dannosi, rimuovere gli eseguibili non autorizzati da AppData e ruotare le credenziali esposte e le chiavi API. Revisionare forensicamente il server MCP compromesso e rafforzare la verifica delle dipendenze per prevenire la reinfezione.

Flusso di Attacco

Esecuzione della Simulazione

Pre-requisito: Il Controllo Pre‑volo della Telemetria & Baseline deve essere passato.

Rationale: Questa sezione descrive l’esecuzione precisa della tecnica dell’avversario (TTP) progettata per attivare la regola di rilevamento. I comandi e il racconto riflettono direttamente i TTP identificati e mirano a generare la telemetria esatta attesa dalla logica di rilevamento.

  • Narraerzione di Attacco & Comandi:
    Un attaccante che ospita un repository GitHub contraffatto (ad esempio, https://github.com/SiddhiBagul/MCP-oura) copia il payload legittimo SmartLoader, lo ribrandizza e lo rende pubblicamente raggiungibile. Un host interno compromesso più tardi esegue uno script che scarica il repository dannoso tramite curl. Questa azione produce una richiesta HTTP GET registrata dal proxy, corrispondente a uno degli URL indicatore nella regola.

  • Script di Test di Regressione:

    #!/usr/bin/env bash
    # Simulazione download fake‑GitHub di SmartLoader – attiva la regola Sigma
    
    MALICIOUS_URLS=(
        "https://github.com/SiddhiBagul/MCP-oura"
        "https://github.com/YuzeHao2023/MCP-oura"
        "https://github.com/punkpeye/MCP-oura"
        "https://github.com/dvlan26/MCP-oura"
        "https://github.com/halamji/MCP-oura"
        "https://github.com/yzhao112/MCP-oura"
    )
    
    for url in "${MALICIOUS_URLS[@]}"; do
        echo "[+] Fetching malicious repo: $url"
        # The -L flag follows redirects; -s silences progress; -o discards output.
        curl -s -L -o /dev/null "$url"
    done
    
    echo "[+] Simulation complete."
  • Comandi di Pulizia:

    # No files were persisted, but clear the shell history of the URLs
    history -d $(history | grep -n "github.com" | cut -d: -f1)
    echo "[+] Cleanup completed – URLs removed from history."