SmartLoader 攻击利用被植入特洛伊木马的 Oura MCP 服务器部署 StealC 信息窃取器
请提供您希望翻译的完整文本内容(除代码块和 URL 之外的部分),我将按照要求把它翻译成简体中文并保留原始的格式。谢谢!
概览
Ravie Lakshmanan
2026 年 2 月 17 日 – 信息窃取者 / 人工智能
网络安全研究人员披露了一项新的 SmartLoader 攻击活动的细节,该活动分发了一个被植入特洛伊木马的模型上下文协议(MCP)服务器,该服务器与 Oura Health 关联,用于投放信息窃取恶意软件 StealC(来源)。
“威胁行为者克隆了一个合法的 Oura MCP 服务器——该工具将 AI 助手连接到 Oura Ring 健康数据——并构建了一个由假冒分支和贡献者组成的欺骗性基础设施,以制造可信度,”
— Straiker 的 AI 研究(STAR)实验室,《The Hacker News》报告。
其最终目标是利用被植入特洛伊木马的 Oura MCP 服务器投放 StealC,该恶意软件能够窃取凭证、浏览器密码以及加密货币钱包数据。
SmartLoader 最早由 OALABS Research 在 2024 年初提出(链接)。它是一种通过伪造的 GitHub 仓库分发的恶意加载器,这些仓库包含 AI 生成的诱饵,使其看起来合法。
在 2025 年 3 月的分析中,Trend Micro 透露,这些仓库伪装成游戏外挂、破解软件和加密货币工具,利用免费或未授权功能的承诺诱导受害者下载部署 SmartLoader 的 ZIP 压缩包(来源)。
Straiker 最新的发现揭示了一个新的 AI 变体:威胁行为者创建了一系列虚假的 GitHub 账户和仓库来托管被植入的 MCP 服务器,并将它们提交到合法的 MCP 注册表,如 MCP Market(服务器仍在此处列出)。
通过毒化 MCP 注册表并武器化 GitHub 等平台,攻击者利用这些服务的信任和声誉,引诱毫无防备的用户下载恶意软件。
“与优先考虑速度和规模的机会主义恶意软件活动不同,SmartLoader 在部署有效载荷之前花费了数月时间来建立可信度,”该公司表示。“这种耐心且有条不紊的方法表明,威胁行为者理解开发者的信任需要时间来培养,并且愿意投入时间以获取高价值目标的访问权。”
攻击流程(四个阶段)
- 假 GitHub 账户 – 至少创建了五个账户(YuzeHao2023、punkpeye、dvlan26、halamji、yzhao112),用于构建看似合法的 Oura MCP server 分叉集合。
- 恶意仓库 – 在账户 SiddhiBagul 下创建了一个包含有效载荷的新 Oura MCP 服务器仓库。
- 可信外观 – 将假账户添加为“贡献者”,并刻意在贡献者列表中省略原作者。
- 注册表投毒 – 将植入木马的服务器提交至 MCP Market。
因为该恶意服务器与良性替代品一起列在 MCP 注册表中,搜索 Oura MCP 服务器的用户可能会不小心下载到恶意版本。通过 ZIP 档案执行后,一个混淆的 Lua 脚本会投放 SmartLoader,随后部署 StealC。
SmartLoader 攻击活动的演变显示出从针对寻找盗版软件的用户转向针对开发者的趋势。开发者的机器通常包含高价值资产,如 API 密钥、云凭证、加密货币钱包以及对生产环境的访问权限——这些都使其成为后续入侵的有吸引力目标。
缓解建议
- 清点 所有已安装的 MCP 服务器。
- 在安装任何 MCP 组件之前,建立 正式的安全评审 流程。
- 验证 GitHub 仓库和 MCP 注册表条目的真实性(检查贡献者历史、签名以及发布者声誉)。
- 使用 端点检测与响应(EDR) 解决方案来检测异常的 Lua 脚本或意外的 SmartLoader 投放。
- 实施 网络分段,以限制凭证被盗对关键系统的影响。
- 监控 MCP 服务器的来源,并留意可疑的外流流量和持久化机制。
“此活动暴露了组织在评估 AI 工具时的根本弱点,” Straiker 说。
“SmartLoader 的成功取决于安全团队和开发者对新攻击面使用过时的信任启发式方法。”
内容最初发布于 The Hacker News 并引用了相关来源。
觉得这篇文章有趣吗? 关注我们获取更多独家内容: