Hot & Attacker

SmartLoader-gänget bygger falskt GitHub-ekosystem för att sprida StealC via trojaniserad Oura MCP

5 Lästid / februari 17, 2026

En känd cyberkriminell operation har i flera månader byggt upp ett avancerat falskt GitHub-ekosystem för att kompromettera leveranskedjan för AI-utveckling. SmartLoader-gänget, som först identifierades 2024 av OpenAnalysis, klonade en legitim Oura Ring MCP-server och skapade ett nätverk av fabricerade arkiv och falska bidragsgivare för att distribuera infostealern StealC via officiella AI-verktygsregister.

Straikers AI Research-team publicerade forskning som visar att operationen framgångsrikt infiltrerade Model Context Protocol-registret med en trojaniserad version av mjukvara som kopplar AI-assistenter till Oura Rings hälsodata. Attacken representerar ett strategiskt skifte från gruppens tidigare fokus på användare som söker piratkopierad programvara, till att istället rikta in sig på högvärdiga utvecklarmiljöer som innehåller API-nycklar, moln-inloggningsuppgifter och kryptovaluta-plånböcker.

Fem falska konton, tre månaders tålamod

Operationen genomfördes i fyra tydliga faser. Angriparna skapade minst fem falska GitHub-konton – YuzeHao2023, punkpeye, dvlan26, halamji och yzhao112 – och använde dem för att bygga upp vad som framstod som ett legitimt utvecklarcommunity kring den klonade Oura MCP-servern. De forkade originalprojektet flera gånger, skapade korsreferenser mellan arkiven och genererade commit-aktivitet för att simulera genuint samarbete i utvecklingen.

De falska kontona uppvisade egenskaper som, enligt forskarna, tyder på AI-genererade identiteter: nyligen skapade konton, liknande aktivitetsmönster och commits koncentrerade till samma tidsperiod.
“Till skillnad från opportunistiska malware-kampanjer som prioriterar hastighet och volym, investerade SmartLoader flera månader i att bygga upp trovärdighet innan de distribuerade sin payload”, noterade Straiker i sin analys.

Efter att ha etablerat detta falska ekosystem skapade gruppen ett separat arkiv under kontot “SiddhiBagul” som innehöll den trojaniserade nyttolasten, där den ursprungliga författaren avsiktligt uteslöts för att undvika upptäckt. Det skadliga paketet skickades därefter in till offentliga MCP-register, där utvecklare som sökte efter Oura-integrationer kunde hitta det listat tillsammans med legitima alternativ.

StealC distribueras genom LuaJIT-obfuskering

När den trojaniserade MCP-servern laddas ned kör den ett obfuskerat Lua-skript som installerar SmartLoader-laddaren, vilken i sin tur distribuerar StealC. Skadlig kod använder flera undvikandetekniker, inklusive skydd mot virtuella maskiner med 443 olika tillstånd, strängkodning genom oktal-escape-sekvenser, samt uppdelad sammansättning (chunked assembly) där känsliga strängar delas upp i variabler och först sätts ihop vid körning.

StealC riktar sig mot utvecklares autentiseringsuppgifter, webbläsarlösenord, kryptoplånboksdata samt API-nycklar från molntjänster. Skadlig kod använder schemalagda uppgifter som är förklädda till Realtek-drivrutiner för att behålla persistens och kommunicerar med command-and-control-servrar (C2) via infrastruktur som forskare bedömer kan ha kopplingar till Kina-baserade operationer.

Ett leveranskedjeproblem utan säkerhetsverktyg

Framgången för denna operation belyser en grundläggande svaghet i det framväxande ekosystemet för AI-utveckling. “MCP-ekosystemet saknar den säkerhetsinfrastruktur som har utvecklats kring traditionella pakethanterare”, noterade Straikers forskare. “Det finns ingen motsvarighet till npm audit, Dependabot eller Snyk för MCP-servrar.”

Traditionella förtroendesignaler som GitHub-stjärnor, forks och antal bidragsgivare visade sig vara otillräckliga när de systematiskt förfalskades. Attacken lyckades just eftersom den utnyttjade samma reputationsmekanismer som utvecklare använder för att bedöma programvarors legitimitet i etablerade ekosystem – mekanismer som saknar en kryptografisk grund och kan manipuleras av tålmodiga angripare.

Detta tillvägagångssätt speglar en bredare trend bland cyberkriminella som historiskt har fokuserat på opportunistiska attacker via piratkopierad programvara. Eftersom utvecklare nu är mer värdefulla mål tack vare deras åtkomst till produktionssystem och molninfrastruktur, investerar grupper som SmartLoader mer tid i social ingenjörskonst och positionering i leveranskedjan snarare än enbart tekniska exploateringar.

Vad utvecklingsteam bör göra nu

Organisationer som använder AI-verktyg bör omedelbart inventera alla installerade MCP-servrar och införa formella säkerhetsgranskningar innan nya integrationer läggs till. Verifiera ursprunget för MCP-servrar genom att kontrollera kontoskapandedatum, granska commit-historik efter misstänkta mönster och säkerställa att bidragsnätverk representerar genuina utvecklarcommunityn snarare än samordnade kluster.

Övervaka nätverkstrafik efter misstänkt utgående kommunikation och persistensmekanismer som kan indikera kompromettering. Forskarna rekommenderar att behandla alla MCP-servrar med nyligen skapade arkiv, begränsat verkligt community-engagemang eller bidragsgivare med liknande aktivitetsmönster som objekt som bör granskas extra noggrant.

För utvecklingsmiljöer som redan använder den komprometterade Oura MCP-servern bör man utgå från att en kompromettering kan ha skett och genomföra incidenthanteringsåtgärder, inklusive rotation av autentiseringsuppgifter, säkerhetsgranskning av kryptoplånböcker och kontroll av molnåtkomst. Kampanjens sofistikering tyder på att även andra AI-utvecklingsverktyg kan ha komprometterats genom liknande långsiktig positionering i leveranskedjan.