Campanha cria repositórios e contas falsas no GitHub para dar aparência legítima a um servidor MCP malicioso, que executa script Lua ofuscado, instala SmartLoader e entrega StealC em sistemas de desenvolvedores.
| Componente | Versão trojanizada do Oura MCP Server, ferramenta associada ao acesso de assistentes de IA a dados do Oura Ring por meio do Model Context Protocol. |
| Vetor | Distribuição por repositórios e contas falsas no GitHub, submissão a registros de MCP e entrega via arquivo ZIP que inicia um script Lua ofuscado. |
| Impacto | Execução de SmartLoader seguida pela instalação do infostealer StealC, com risco confirmado para credenciais, senhas armazenadas em navegadores e dados de carteiras de criptomoedas. |
| Prioridade | Inventariar servidores MCP instalados, validar origem antes de uso, revisar tráfego de saída e procurar mecanismos de persistência associados à cadeia. |
| Artefatos | Foram citadas contas falsas como YuzeHao2023, punkpeye, dvlan26, halamji, yzhao112 e SiddhiBagul no ecossistema de repositórios ligado à campanha. |
Uma campanha do SmartLoader passou a explorar a confiança em ferramentas de IA e em registros de servidores MCP para distribuir uma versão trojanizada do Oura MCP Server. O projeto legítimo tem a função de conectar assistentes de IA a dados do Oura Ring, mas a variante maliciosa foi posicionada como alternativa aparentemente confiável dentro de um ecossistema de repositórios, bifurcações e perfis fabricados. A cadeia não depende apenas de uma isca isolada; ela combina reputação artificial, presença em plataformas conhecidas e aparência de contribuição comunitária para reduzir a desconfiança de usuários técnicos.
O objetivo operacional da cadeia é instalar o infostealer StealC por meio do SmartLoader. Depois que a vítima obtém e inicia o pacote distribuído em arquivo ZIP, um script Lua ofuscado é executado e passa a atuar como etapa intermediária para soltar o loader. O SmartLoader, por sua vez, entrega o StealC, malware voltado à coleta de credenciais, senhas de navegadores e dados de carteiras de criptomoedas. O deslocamento do tema da campanha para servidores MCP indica foco em desenvolvedores e usuários de ferramentas de IA, cujas estáções frequentemente concentram chaves de API, credenciais de nuvem, acessos a ambientes de produção e carteiras digitais.
A campanha começa fora do endpoint, na construção de credibilidade. Foram criadas ao menos cinco contas falsas no GitHub para compor um conjunto de bifurcações do Oura MCP Server e simular atividade legítima. Essas contas foram adicionadas como contribuidoras em repositórios controlados pela operação, enquanto o autor original foi excluído das listas de contribuição. Esse detalhe é relevante para defesa porque o sinal de confiança explorado não é um exploit técnico em um produto, mas a leitura humana e organizacional de metadados públicos, como histórico de projeto, contribuidores, presença em diretórios e semelhança com o nome de um componente real.
Em paralelo, foi criado outro repositório do Oura MCP Server com carga maliciosa sob uma nova conta. A variante foi submetida a registros legítimos de MCP, incluindo um diretório em que o servidor ainda aparecia listado no momento descrito no material analisado. Assim, um usuário que buscasse um servidor MCP para integração com dados do Oura poderia encontrar a opção maliciosa misturada a alternativas benignas. A técnica se aproxima de envenenamento de ecossistema: em vez de comprometer diretamente o projeto original, o operador cria infraestrutura paralela e tenta capturar instalações por semelhança, reputação fabricada e presença em canais usados por desenvolvedores.
No host da vítima, o arquivo ZIP funciona como ponto de entrada. A execução do pacote aciona um script Lua ofuscado, que não foi descrito em nível de comandos reproduzíveis e deve ser tratado defensivamente pelo seu papel: preparar a implantação do SmartLoader. O loader então entrega o StealC. Esse encadeamento separa a isca de distribuição, a etapa de carregamento e o malware final, o que dificulta a análise baseada somente no nome do repositório ou no binário final. Para operadores de segurança, o fluxo exige correlação entre origem de instalação, execução de interpretador ou runtime inesperado, criação de artefatos pelo loader e conexões de saída posteriores ao primeiro lançamento.
A superfície mais exposta é formada por desenvolvedores, equipes que testam integrações com assistentes de IA e ambientes que permitem instalação direta de servidores MCP a partir de repositórios públicos ou diretórios comunitários. O risco aumenta quando a validação se limita a estrelas, nomes de contribuidores, aparência de bifurcação ou presença em um registro. Como a campanha usa uma ferramenta associada a dados do Oura Ring, o alvo inicial pode parecer uma integração legítima de produtividade ou saúde conectada a IA, mas o valor real para o operador está no ambiente local do usuário técnico.
Sistemas de desenvolvimento merecem prioridade porque concentram material reutilizável em intrusões posteriores. O contexto confirma interesse em chaves de API, credenciais de nuvem, carteiras de criptomoedas, senhas de navegador e acessos a produção. Não há dado suficiente para afirmar exploração ativa de sistemas internos, movimentação lateral ou exfiltração de bases corporativas; o impacto sustentado é a coleta por infostealer e o potencial de abuso posterior dos segredos obtidos.
- Estáções de desenvolvedores que instalaram servidores MCP associados ao Oura a partir de repositórios públicos ou registros de terceiros.
- Ambientes em que arquivos ZIP baixados de repositórios são executados sem revisão formal de origem, conteúdo e cadeia de manutenção.
- Perfis com credenciais salvas em navegador, chaves de API locais, tokens de nuvem, carteiras de criptomoedas ou acesso a sistemas de produção.
A investigação deve começar pelo inventário de servidores MCP instalados e pela reconstrução da origem de cada pacote. O ponto central é identificar instalações do Oura MCP Server que não venham do projeto esperado ou que estejam associadas aos perfis falsos citados. Em estáções de desenvolvimento, a análise deve correlacionar data de download do ZIP, extração local, primeira execução do servidor, processos filhos e criação de arquivos logo após o lançamento. Como a cadeia envolve script Lua ofuscado, a presença de execução Lua inesperada em contexto de servidor MCP é um sinal forte para aprofundamento.
No endpoint, a telemetria útil inclui eventos de criação de processo por arquivos extraídos de ZIP, execução de scripts ofuscados, escrita de novos binários ou cargas em diretórios de usuário e tentativa de persistência após o primeiro uso do servidor. Em rede, a defesa deve observar tráfego de saída incomum originado do processo do servidor MCP, de interpretadores associados ou de binários recém-criados. O contexto não fornece domínios, IPs ou hashes, portanto a detecção deve se apoiar em comportamento, origem do software e sequência de execução, não em indicadores fixos.
- Instalações do Oura MCP Server vinculadas a repositórios controlados por contas como YuzeHao2023, punkpeye, dvlan26, halamji, yzhao112 ou SiddhiBagul.
- Execução de script Lua ofuscado após abertura de pacote ZIP relacionado a servidor MCP.
- Processos de servidor MCP criando arquivos executáveis, iniciando loaders ou gerando tráfego de saída sem relação com a função esperada da integração.
- Credenciais, tokens e carteiras acessados no mesmo intervalo temporal da instalação ou primeira execução do pacote.
A resposta deve priorizar validação de origem e contenção de credenciais. Organizações que usam MCP devem manter inventário de servidores instalados, registrar de onde cada um foi obtido e exigir revisão de segurança antes de novas instalações. A presença em um registro comunitário ou em um repositório com múltiplos contribuidores não deve ser tratada como prova suficiente de legitimidade. Para componentes que acessam dados sensíveis ou rodam em estáções com segredos, a revisão deve incluir comparação com o projeto legítimo, histórico de mantenedores, conteúdo do pacote, scripts de inicialização e comportamento em ambiente isolado.
Quando houver suspeita de instalação da variante trojanizada, a máquina deve ser isolada para análise, o pacote removido e os artefatos de execução preservados para DFIR. A rotação de credenciais precisa considerar o tipo de dado disponível no host: senhas de navegador, chaves de API, tokens de nuvem, credenciais de repositório, carteiras e acessos a produção. Como o StealC é um infostealer, a ausência de alerta de exploração em servidor não elimina o risco; o evento crítico pode ter sido a coleta silenciosa de segredos locais. Após a contenção, as equipes devem revisar políticas de instalação de ferramentas de IA, bloquear execução de pacotes não aprovados e monitorar persistência e tráfego de saída associado a servidores MCP.
- Inventariar servidores MCP e remover instalações cuja origem, mantenedor ou cadeia de distribuição não possam ser validados.
- Submeter novos servidores MCP a revisão formal antes de uso, incluindo análise de scripts, dependências, histórico de repositório e comportamento em sandbox.
- Monitorar tráfego de saída e mecanismos de persistência criados após a execução de servidores MCP recém-instalados.
- Rotacionar credenciais locais e de nuvem quando houver evidência de execução da cadeia SmartLoader e StealC em uma estáção.
0 Comentários