SOC Prime Bias: Критичний

18 Feb 2026 13:17 UTC

SmartLoader клонує MCP Oura Ring для проведення атаки на ланцюг поставок

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Стежити
SmartLoader клонує MCP Oura Ring для проведення атаки на ланцюг поставок
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Резюме

SmartLoader використовував фальшиві облікові записи GitHub і клонований сервер Oura Ring MCP для зараження реєстрів MCP. Троянський сервер потім доставляв інфостілер StealC, призначений для крадіжки облікових даних розробників, даних кріптогаманця та інформації про здоров’я. Ця діяльність демонструє, як інтеграції здоров’я з підтримкою ІІ можуть стати точкою входу в ланцюг постачань.

Розслідування

Дослідники відобразили щонайменше п’ять вигаданих профілів GitHub, які створили відгалуження від реального репозиторію Oura MCP та опублікували їх. Підроблена версія була завантажена під новим обліковим записом і подана до реєстрів MCP. Динамічний аналіз виявив навантаження на основі LuaJIT, яке було розміщено в папці AppData користувача і забезпечувало персистентність через заплановані завдання, маскуючись під аудіодрайвери Realtek.

Послаблення

Аудитуйте інвентаризацію серверів MCP, проводьте перевірки походження перед встановленням і сповіщайте про заплановані завдання, що запускаються з AppData. Застосуйте контроль вихідного трафіку та заблокуйте трафік до відомих криптовалютних і C2 точок. Перевіряйте історію учасників GitHub та походження репозиторіїв під час затвердження.

Відповідь

При виявленні ізолюйте робочу станцію, завершите шкідливі завдання, видаліть несанкціоновані виконувані файли з AppData і змініть відкриті облікові дані та API ключі. Форенсично перевірте скомпрометований сервер MCP і посильте перевірку залежностей для запобігання повторного зараження.

Потік атаки

Виконання симуляції

Передумова: Перевірка телеметрії та базової лінії повинна бути пройдена.

Обгрунтування: У цьому розділі детально описується точне виконання техніки супротивника (TTP), призначеної для виклику правила виявлення. Команди і наратив безпосередньо відображають виявлені TTP і спрямовані на генерацію тієї телеметрії, яку очікує логіка виявлення.

  • Наратив атаки та команди:
    Атакуючий хостинг підробленого репозиторію GitHub (наприклад, https://github.com/SiddhiBagul/MCP-oura) робить копію легітимного навантаження SmartLoader, перевидає її і робить публічно доступною. Скомпрометований внутрішній хост пізніше виконує скрипт, що завантажує шкідливий репозиторій через curl. Ця дія створює запит HTTP GET, зареєстрований проксі, який відповідає одній з URL-адрес в правилі.

  • Сценарій регресійного тесту:

    #!/usr/bin/env bash
    # Симуляція завантаження фальшивого GitHub – провокує спрацювання правила Sigma
    
    MALICIOUS_URLS=(
        "https://github.com/SiddhiBagul/MCP-oura"
        "https://github.com/YuzeHao2023/MCP-oura"
        "https://github.com/punkpeye/MCP-oura"
        "https://github.com/dvlan26/MCP-oura"
        "https://github.com/halamji/MCP-oura"
        "https://github.com/yzhao112/MCP-oura"
    )
    
    for url in "${MALICIOUS_URLS[@]}"; do
        echo "[+] Отримання шкідливого репозиторію: $url"
        # Прапор -L слідує редиректам; -s заглушає прогрес; -o відкидає результат.
        curl -s -L -o /dev/null "$url"
    done
    
    echo "[+] Симуляція завершена."
  • Команди очищення:

    # Жоден файл не було збережено, але очистіть історію командної оболонки від URL-адрес
    history -d $(history | grep -n "github.com" | cut -d: -f1)
    echo "[+] Очищення завершено – URL-адреси видалено з історії."