Команда Straiker's AI Research (STAR) Labs раскрыла детали новой кампании кибершпионажа, нацеленной на бренд Oura Health, известный своими умными кольцами Oura Ring. Злоумышленники используют троянизированную версию сервера Model Context Protocol (MCP) — инструмента, предназначенного для соединения ИИ-ассистентов с данными о здоровье пользователя. Основной целью атаки является кража учетных данных, паролей из браузеров и информации о криптовалютных кошельках. Для реализации этого плана хакеры применяют стратегию «отравления» реестров MCP и использования платформы GitHub для эксплуатации доверия разработчиков.
В центре технической реализации атаки находятся два вредоносных инструмента: загрузчик SmartLoader и информационный стилер StealC. Согласно данным исследователей, распространение зловреда происходит через поддельный репозиторий, который до сих пор числится в каталоге MCP Market наряду с безопасными альтернативами. Процесс заражения начинается, когда пользователь ищет Oura MCP сервер в реестре и загружает ZIP-архив. При запуске файла выполняется обфусцированный скрипт на языке Lua, который разворачивает SmartLoader, а тот, в свою очередь, загружает и активирует полезную нагрузку StealC.
Анализ Straiker показал, что атака была тщательно спланирована и реализовывалась в четыре этапа для создания видимости легитимности. На первом этапе злоумышленники создали как минимум пять поддельных учетных записей на GitHub: YuzeHao2023, punkpeye, dvlan26, halamji и yzhao112. Эти аккаунты использовались для создания коллекции форков репозитория Oura MCP, имитируя активность реального сообщества. Затем, под отдельным учетным записью с именем SiddhiBagul, был создан новый репозиторий, содержащий вредоносную полезную нагрузку.
Ключевым элементом стратегии стало искусственное создание авторитета проекта. Пять ранее созданных фальшивых аккаунтов были добавлены в качестве «контрибуторов» (участников) во вредоносный репозиторий SiddhiBagul для формирования «социального доказательства» надежности кода. При этом оригинальный автор настоящего программного обеспечения был намеренно исключен из списка участников. Финальным этапом стало размещение троянизированного сервера на легитимной платформе MCP Market, что позволило вредоносному ПО появляться в результатах поиска.
История используемых инструментов прослеживается с начала прошлого года. Исследователи из OALABS Research впервые обратили внимание на SmartLoader еще в начале 2024 года. Позднее, в марте 2025 года, компания Trend Micro опубликовала детальный анализ тактики распространения этого загрузчика. Ранее злоумышленники ориентировались на пользователей пиратского ПО, маскируя вирусы под читы для игр, взломанные программы и утилиты для криптовалют, активно используя сгенерированные искусственным интеллектом приманки в поддельных репозиториях.
Текущая кампания демонстрирует значительный тактический сдвиг: фокус сместился с рядовых пользователей на разработчиков. Согласно отчету, опубликованному в The Hacker News, разработчики рассматриваются как «высокоценные цели», обладающие доступом к критически важной информации, такой как API-ключи, облачные учетные данные и доступ к производственным системам. Этот подход отличается методичностью и терпением: хакеры инвестировали месяцы в создание репутации, отказавшись от оппортунистических атак ради качества и скрытности.
Эксперты Straiker подчеркивают, что данная кампания обнажает серьезные уязвимости в методах оценки инструментов искусственного интеллекта и демонстрирует, что организации полагаются на устаревшие эвристики доверия. Для минимизации рисков рекомендуется вести строгий инвентарный учет установленных серверов MCP и внедрить формальный процесс проверки безопасности перед их установкой. Также необходимо верифицировать происхождение серверов и настроить мониторинг систем на предмет подозрительного исходящего трафика и механизмов закрепления в системе.
Изображение носит иллюстративный характер
В центре технической реализации атаки находятся два вредоносных инструмента: загрузчик SmartLoader и информационный стилер StealC. Согласно данным исследователей, распространение зловреда происходит через поддельный репозиторий, который до сих пор числится в каталоге MCP Market наряду с безопасными альтернативами. Процесс заражения начинается, когда пользователь ищет Oura MCP сервер в реестре и загружает ZIP-архив. При запуске файла выполняется обфусцированный скрипт на языке Lua, который разворачивает SmartLoader, а тот, в свою очередь, загружает и активирует полезную нагрузку StealC.
Анализ Straiker показал, что атака была тщательно спланирована и реализовывалась в четыре этапа для создания видимости легитимности. На первом этапе злоумышленники создали как минимум пять поддельных учетных записей на GitHub: YuzeHao2023, punkpeye, dvlan26, halamji и yzhao112. Эти аккаунты использовались для создания коллекции форков репозитория Oura MCP, имитируя активность реального сообщества. Затем, под отдельным учетным записью с именем SiddhiBagul, был создан новый репозиторий, содержащий вредоносную полезную нагрузку.
Ключевым элементом стратегии стало искусственное создание авторитета проекта. Пять ранее созданных фальшивых аккаунтов были добавлены в качестве «контрибуторов» (участников) во вредоносный репозиторий SiddhiBagul для формирования «социального доказательства» надежности кода. При этом оригинальный автор настоящего программного обеспечения был намеренно исключен из списка участников. Финальным этапом стало размещение троянизированного сервера на легитимной платформе MCP Market, что позволило вредоносному ПО появляться в результатах поиска.
История используемых инструментов прослеживается с начала прошлого года. Исследователи из OALABS Research впервые обратили внимание на SmartLoader еще в начале 2024 года. Позднее, в марте 2025 года, компания Trend Micro опубликовала детальный анализ тактики распространения этого загрузчика. Ранее злоумышленники ориентировались на пользователей пиратского ПО, маскируя вирусы под читы для игр, взломанные программы и утилиты для криптовалют, активно используя сгенерированные искусственным интеллектом приманки в поддельных репозиториях.
Текущая кампания демонстрирует значительный тактический сдвиг: фокус сместился с рядовых пользователей на разработчиков. Согласно отчету, опубликованному в The Hacker News, разработчики рассматриваются как «высокоценные цели», обладающие доступом к критически важной информации, такой как API-ключи, облачные учетные данные и доступ к производственным системам. Этот подход отличается методичностью и терпением: хакеры инвестировали месяцы в создание репутации, отказавшись от оппортунистических атак ради качества и скрытности.
Эксперты Straiker подчеркивают, что данная кампания обнажает серьезные уязвимости в методах оценки инструментов искусственного интеллекта и демонстрирует, что организации полагаются на устаревшие эвристики доверия. Для минимизации рисков рекомендуется вести строгий инвентарный учет установленных серверов MCP и внедрить формальный процесс проверки безопасности перед их установкой. Также необходимо верифицировать происхождение серверов и настроить мониторинг систем на предмет подозрительного исходящего трафика и механизмов закрепления в системе.
