Trojanized MCP Server

Los investigadores de ciberseguridad han revelado detalles de un nuevo Cargador inteligente campaña que implica la distribución de una versión troyanizada de un protocolo de contexto modelo ( MCP ) servidor asociado a Oura Health para entregar un ladrón de información conocido como Robar C .

«Los atacantes clonaron un servidor Oura MCP legítimo, una herramienta que conecta a los asistentes de IA con los datos de salud de Oura Ring, y crearon una infraestructura engañosa de bifurcaciones y contribuyentes falsos para ganar credibilidad», dijo el equipo de AI Research (STAR) Labs de Straiker dijo en un informe compartido con The Hacker News.

El objetivo final es aprovechar la versión troyanizada del servidor MCP de Oura para ofrecer el robo de información StealC, que permite a los atacantes robar credenciales, contraseñas de navegadores y datos de carteras de criptomonedas.

Cargador inteligente, resaltado por primera vez de OALABS Research a principios de 2024, es un cargador de malware que se sabe que se distribuye a través de repositorios falsos de GitHub que contienen señuelos generados por inteligencia artificial (IA) para dar la impresión de que son legítimos.

En un análisis publicado en marzo de 2025, Trend Micro revelada que estos repositorios se disfrazan de trucos de juegos, software descifrado y utilidades de criptomonedas, lo que suele convencer a las víctimas con promesas de funciones gratuitas o no autorizadas para que descarguen archivos ZIP que implementen SmartLoader.

adsense

Los últimos hallazgos de Straiker destacan un nuevo giro de la IA, ya que los actores de amenazas crean una red de cuentas y repositorios falsos de GitHub para servir a los servidores MCP troyanizados y los envían a registros MCP legítimos, como Mercado MCP . El servidor MCP es sigue en la lista en el directorio MCP.

Al envenenar los registros de MCP y convertir en armas plataformas como GitHub, la idea es aprovechar la confianza y la reputación asociadas a los servicios para atraer a usuarios desprevenidos a descargar malware.

«A diferencia de las campañas de malware oportunistas que priorizan la velocidad y el volumen, SmartLoader invirtió meses en crear credibilidad antes de desplegar su carga útil», afirma la empresa. «Este enfoque paciente y metódico demuestra que los actores de la amenaza comprenden que la confianza de los desarrolladores requiere tiempo para fabricar productos, así como su disposición a invertir ese tiempo para acceder a objetivos de gran valor».

El ataque se desarrolló esencialmente en cuatro etapas -

  • Creé al menos 5 cuentas falsas de GitHub (YuzeHao2023, punkpeye, dvlan26, halamji y yzhao112) para crear una colección de bifurcaciones de repositorios aparentemente legítimas de nuestro servidor MCP .
  • Creó otro repositorio de servidores Oura MCP con la carga maliciosa en una nueva cuenta «SiddhiBagul»
  • Se agregaron las cuentas falsas recién creadas como «colaboradores» para dar una apariencia de credibilidad, al tiempo que se excluyó deliberadamente al autor original de las listas de colaboradores
  • Envié el servidor troyanizado al MCP Market
enlaces

Esto también significa que los usuarios que terminen buscando el servidor Oura MCP en el registro acabarán encontrando el servidor no autorizado en la lista entre otras alternativas benignas. Una vez lanzado mediante un archivo ZIP, resulta en la ejecución de un script de Lua confuso que es el responsable de eliminar SmartLoader, que a su vez procede a implementar StealC.

La evolución de la campaña SmartLoader indica que se ha pasado de atacar a los usuarios que buscan software pirateado a los desarrolladores, cuyos sistemas se han convertido en objetivos de gran valor, dado que suelen contener datos confidenciales como claves de API, credenciales en la nube, carteras de criptomonedas y acceso a los sistemas de producción. Los datos robados podrían utilizarse entonces de forma abusiva para fomentar otras intrusiones.

Como medida de mitigación para combatir la amenaza, se recomienda a las organizaciones que inventarien los servidores MCP instalados, establezcan una revisión de seguridad formal antes de la instalación, verifiquen el origen de los servidores MCP y supervisen el tráfico de salida sospechoso y los mecanismos de persistencia.

«Esta campaña expone las debilidades fundamentales en la forma en que las organizaciones evalúan las herramientas de inteligencia artificial», dijo Straiker. «El éxito de SmartLoader depende de que los equipos de seguridad y los desarrolladores apliquen una heurística de confianza anticuada a una nueva superficie de ataque».

¿Te ha parecido interesante este artículo? Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.