Investigadores de ciberseguridad han revelado detalles de un nuevo Cargador inteligente campaña que implica la distribución de una traducción troyanizada de un servidor Model Context Protocol (MCP) asociado con Oura Health para entregar un cleptómano de información conocido como StealC.
“Los actores de amenazas clonaron un servidor Oura MCP permitido, una útil que conecta a los asistentes de IA con los datos de salubridad de Oura Ring, y construyeron una infraestructura engañosa de bifurcaciones y contribuyentes falsos para ocasionar credibilidad”, dijo el equipo de Straiker’s AI Research (STAR) Labs en un documentación compartido con The Hacker News.
El objetivo final es exprimir la traducción troyanizada del servidor Oura MCP para entregar el cleptómano de información StealC, permitiendo a los actores de amenazas robar credenciales, contraseñas del navegador y datos de carteras de criptomonedas.
SmartLoader, destacado por primera vez por OALABS Research a principios de 2024, es un cargador de malware que se sabe que se distribuye a través de repositorios falsos de GitHub que contienen señuelos generados por inteligencia químico (IA) para dar la impresión de que son legítimos.
En un disección publicado en marzo de 2025, Trend Micro reveló que estos repositorios están disfrazados de trucos de juegos, software descifrado y utilidades de criptomonedas, y generalmente persuaden a las víctimas con promesas de funcionalidades gratuitas o no autorizadas para descargar archivos ZIP que implementan SmartLoader.
Los últimos hallazgos de Straiker destacan un nuevo desvío de la IA: los actores de amenazas crean una red de cuentas y repositorios falsos de GitHub para servir servidores MCP troyanizados y enviarlos a registros MCP legítimos como MCP Market. El servidor MCP todavía aparece en el directorio MCP.
Al envenenar los registros de MCP y convertir en armas plataformas como GitHub, la idea es exprimir la confianza y la reputación asociadas con los servicios para atraer a usuarios desprevenidos a descargar malware.
“A diferencia de las campañas de malware oportunistas que priorizan la velocidad y el bombeo, SmartLoader invirtió meses en superar credibilidad antaño de implementar su carga útil”, dijo la compañía. “Este enfoque paciente y metódico demuestra la comprensión del actor de amenazas de que la confianza de los desarrolladores requiere tiempo para imaginar, y su voluntad de alterar ese tiempo para consentir a objetivos de parada valencia”.
El ataque se desarrolló esencialmente en cuatro etapas:
- Creé al menos 5 cuentas falsas de GitHub (YuzeHao2023, punkpeye, dvlan26, halamji y yzhao112) para crear una colección de bifurcaciones de repositorio aparentemente legítimas del servidor Oura MCP.
- Creó otro repositorio del servidor Oura MCP con la carga maliciosa en una nueva cuenta “SiddhiBagul”
- Se agregaron las cuentas falsas recién creadas como “colaboradores” para dar una apariencia de credibilidad, al tiempo que se excluyó deliberadamente al autor innovador de las listas de colaboradores.
- Envió el servidor troyanizado al MCP Market
Esto todavía significa que los usuarios que terminen buscando el servidor Oura MCP en el registro terminarán encontrando el servidor fraudulento entre otras alternativas benignas. Una vez iniciado a través de un archivo ZIP, resulta en la ejecución de un script Lua ofuscado que es responsable de eliminar SmartLoader, que luego procede a implementar StealC.
La proceso de la campaña SmartLoader indica un cambio de atacar a los usuarios que buscan software pirateado a los desarrolladores, cuyos sistemas se han convertido en objetivos de parada valencia, entregado que tienden a contener datos confidenciales como claves API, credenciales en la aglomeración, billeteras de criptomonedas y golpe a sistemas de producción. Luego se podría atropellar de los datos robados para respaldar intrusiones posteriores.
Como mitigación para combatir la amenaza, se recomienda a las organizaciones hacer un inventario de los servidores MCP instalados, establecer una revisión de seguridad formal antaño de la instalación, demostrar el origen de los servidores MCP y monitorear el tráfico de salida sospechoso y los mecanismos de persistencia.
“Esta campaña expone debilidades fundamentales en la forma en que las organizaciones evalúan las herramientas de IA”, dijo Straiker. “El éxito de SmartLoader depende de que los equipos de seguridad y los desarrolladores apliquen heurísticas de confianza obsoletas a una nueva superficie de ataque”.
