SOC Prime Bias: Crítico

18 Feb 2026 13:17 UTC

SmartLoader Clona o MCP do Anel Oura para Realizar um Ataque à Cadeia de Suprimentos

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
SmartLoader Clona o MCP do Anel Oura para Realizar um Ataque à Cadeia de Suprimentos
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O SmartLoader usou contas falsas do GitHub e um servidor MCP do Oura Ring clonado para contaminar registros MCP. O servidor Trojanizado então entregou o StealC infostealer, projetado para roubar credenciais de desenvolvedores, dados de carteiras de criptomoedas e informações de saúde. A atividade mostra como integrações de saúde habilitadas por IA podem se tornar uma porta de entrada na cadeia de suprimentos.

Investigação

Pesquisadores mapearam pelo menos cinco perfis falsificados do GitHub que ramificaram o repositório real MCP do Oura e publicaram imitações. Um fork malicioso foi enviado sob uma nova conta e submetido aos registros MCP. A análise dinâmica encontrou cargas úteis baseadas em LuaJIT armazenadas na pasta AppData do usuário e persistência através de tarefas agendadas disfarçadas como drivers de áudio Realtek.

Mitigação

Audite inventários do servidor MCP, reforce verificações de procedência antes da instalação e alerte sobre tarefas agendadas iniciando executáveis de AppData. Aplique controles de saída e bloqueie tráfego para conhecidos endpoints de criptomoeda e C2. Valide o histórico de contribuidores do GitHub e a linhagem de repositórios durante a aprovação.

Resposta

Ao detectar, isole a estação de trabalho, termine as tarefas maliciosas, remova executáveis não autorizados do AppData e gire credenciais expostas e chaves API. Revise forensicamente o servidor MCP comprometido e aperte a verificação de dependências para prevenir reinfecção.

Fluxo do Ataque

Execução de Simulação

Pré-requisito: O Cheque de Pré-voo Telemetria & Baseline deve ter passado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa refletem diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa do Ataque & Comandos:
    Um atacante hospeda um repositório falso do GitHub (por exemplo, https://github.com/SiddhiBagul/MCP-oura) copia a carga útil legítima do SmartLoader, renomeia-a e torna-a publicamente acessível. Um host interno comprometido posteriormente executa um script que baixa o repositório malicioso via curl. Esta ação produz uma solicitação HTTP GET registrada pelo proxy, correspondendo a um dos URLs indicadores na regra.

  • Script de Teste de Regressão:

    #!/usr/bin/env bash
    # Simulação de download falso do GitHub SmartLoader – aciona a regra Sigma
    
    MALICIOUS_URLS=(
        "https://github.com/SiddhiBagul/MCP-oura"
        "https://github.com/YuzeHao2023/MCP-oura"
        "https://github.com/punkpeye/MCP-oura"
        "https://github.com/dvlan26/MCP-oura"
        "https://github.com/halamji/MCP-oura"
        "https://github.com/yzhao112/MCP-oura"
    )
    
    for url in "${MALICIOUS_URLS[@]}"; do
        echo "[+] Buscando repositório malicioso: $url"
        # A flag -L segue redirecionamentos; -s silencia o progresso; -o descarta a saída.
        curl -s -L -o /dev/null "$url"
    done
    
    echo "[+] Simulação concluída."
  • Comandos de Limpeza:

    # Nenhum arquivo foi persistido, mas limpe o histórico do shell das URLs
    history -d $(history | grep -n "github.com" | cut -d: -f1)
    echo "[+] Limpeza concluída – URLs removidas do histórico."