SmartLoader 공격이 Trojanized Oura MCP 서버를 이용해 StealC 인포스틸러를 배포.
Source: The Hacker News
번역을 진행하려면 원본 기사 전체 텍스트를 제공해 주시겠어요?
텍스트를 받는 대로 요청하신 대로 한국어로 번역해 드리겠습니다.
Overview
Ravie Lakshmanan
Feb 17 2026 – Infostealer / Artificial Intelligence
사이버 보안 연구원들은 Oura Health와 연관된 모델 컨텍스트 프로토콜(MCP) 서버의 트로이목 버전을 배포하는 새로운 SmartLoader 캠페인에 대한 세부 정보를 공개했습니다. 이 서버는 정보 탈취형 StealC를 전달합니다(source).
“위협 행위자는 정품 Oura MCP 서버를 복제했습니다 – 이는 AI 어시스턴트를 Oura Ring 건강 데이터와 연결하는 도구이며, 신뢰성을 만들기 위해 가짜 포크와 기여자들의 사기 인프라를 구축했습니다,”
— Straiker’s AI Research (STAR) Labs, The Hacker News 보고서.
궁극적인 목표는 트로이목화된 Oura MCP 서버를 이용해 StealC를 배포하는 것으로, 이 악성코드는 자격 증명, 브라우저 비밀번호, 그리고 암호화폐 지갑 데이터를 탈취할 수 있습니다.
SmartLoader는 OALABS Research에 의해 2024년 초 처음 조명되었습니다(link). 이는 AI가 생성한 미끼를 포함한 가짜 GitHub 저장소를 통해 배포되는 악성 로더이며, 이를 통해 정품처럼 보이게 합니다.
2025년 3월 분석에서 Trend Micro는 이러한 저장소가 게임 치트, 크랙된 소프트웨어, 암호화폐 유틸리티 등으로 위장되어 피해자에게 무료 또는 무단 기능을 제공한다는 약속으로 ZIP 아카이브를 다운로드하도록 유도하고, 그 결과 SmartLoader가 배포된다고 밝혔습니다(source).
Straiker의 최신 조사에서는 새로운 AI 변형이 강조됩니다: 위협 행위자는 가짜 GitHub 계정과 저장소 네트워크를 구축해 트로이목화된 MCP 서버를 호스팅하고 이를 MCP Market과 같은 정식 MCP 레지스트리에 제출했습니다(서버는 아직도 여기에 나와 있습니다).
MCP 레지스트리를 오염시키고 GitHub 같은 플랫폼을 무기로 활용함으로써, 공격자는 이러한 서비스의 신뢰와 평판을 이용해 무방비 사용자를 악성코드 다운로드로 유인합니다.
“기회주의적인 악성코드 캠페인이 속도와 양을 우선시하는 것과 달리, SmartLoader는 페이로드를 배포하기 전에 수개월에 걸쳐 신뢰성을 구축했습니다.” 회사는 이렇게 말했습니다. “이러한 인내심 있고 체계적인 접근 방식은 개발자 신뢰를 형성하는 데 시간이 필요하다는 위협 행위자의 이해와 고가치 목표에 접근하기 위해 그 시간을 투자하려는 의지를 보여줍니다.”
Attack flow (four stages)
- Fake GitHub accounts – 최소 다섯 개의 계정(YuzeHao2023, punkpeye, dvlan26, halamji, yzhao112)이 생성되어 Oura MCP server의 겉보기에 정상적인 포크들을 모았습니다.
- Malicious repository – 페이로드를 포함한 새로운 Oura MCP server 저장소가 SiddhiBagul 계정 아래에 만들어졌습니다.
- Credibility veneer – 가짜 계정들이 “contributors”(기여자)로 추가되었으며, 원본 저자는 기여자 목록에서 고의로 누락되었습니다.
- Registry poisoning – 트로이 목마가 삽입된 서버가 MCP Market에 제출되었습니다.
악성 서버가 MCP 레지스트리의 정상적인 대안과 함께 나열되기 때문에, Oura MCP server를 검색하는 사용자는 무심코 악성 버전을 다운로드할 수 있습니다. ZIP 아카이브를 통해 실행되면 난독화된 Lua 스크립트가 SmartLoader를 떨어뜨리고, 그 후 SmartLoader가 StealC를 배포합니다.
SmartLoader 캠페인의 진화는 불법 소프트웨어를 찾는 사용자를 목표로 하던 것에서 개발자를 목표로 전환된 것을 보여줍니다. 개발자들의 머신에는 API 키, 클라우드 자격 증명, 암호화폐 지갑, 프로덕션 환경 접근 권한 등 높은 가치를 지닌 자산이 포함되어 있어 후속 침투에 매력적인 대상이 됩니다.
완화 권고사항
- 인벤토리 모든 설치된 MCP 서버를 파악합니다.
- 공식 보안 검토 프로세스를 수립하여 MCP 구성 요소를 설치하기 전에 진행합니다.
- 검증 GitHub 저장소와 MCP 레지스트리 항목의 진위 여부를 확인합니다(기여자 이력, 서명, 발행자 평판을 확인).
- 엔드포인트 탐지 및 대응 (EDR) 솔루션을 사용하여 비정상적인 Lua 스크립트나 예상치 못한 SmartLoader 배포를 감지합니다.
- 네트워크 분할을 적용하여 자격 증명 도난이 중요한 시스템에 미치는 영향을 제한합니다.
- MCP 서버의 출처를 모니터링하고 의심스러운 외부 트래픽 및 지속성 메커니즘을 감시합니다.
“이 캠페인은 조직이 AI 도구를 평가하는 방식의 근본적인 약점을 드러냅니다,” 라고 Straiker가 말했습니다.
“SmartLoader의 성공은 보안 팀과 개발자가 새로운 공격 표면에 구식 신뢰 휴리스틱을 적용하는 데 달려 있습니다.”
원본은 The Hacker News에 게시되었으며 인용된 출처를 포함합니다.
이 기사가 흥미롭나요? 더 많은 독점 콘텐츠를 위해 팔로우하세요: