Giriş
Son dönemlerde siber saldırılar, gelişen teknolojilerle birlikte daha karmaşık hale gelmiştir. Cybersecurity araştırmacıları, Oura Health ile ilişkilendirilen bir Model Context Protocol (MCP) sunucusunun kötü niyetli bir versiyonunun dağıtıldığı yeni bir SmartLoader kampanyasını ortaya çıkardı.
Saldırı Nasıl Çalışıyor?
Saldırganlar, meşru bir Oura MCP sunucusunu klonlayarak, StealC isimli bir bilgi hırsızını yaymak için yanıltıcı bir altyapı oluşturdular. Bu süreç, sahte GitHub hesapları ve hapishaneler oluşturmayı içeriyor:
- YuzeHao2023, punkpeye, dvlan26, halamji ve yzhao112 gibi en az 5 sahte GitHub hesabı oluşturuldu.
- Yeni bir hesap “SiddhiBagul” altında kötü amaçlı yük ile başka bir Oura MCP sunucu deposu oluşturuldu.
- Sahte hesaplar, orijinal yazarın dışarıda bırakıldığı bir “katkıda bulunanlar” listesine dahil edilerek sahte bir güvenilirlik sağlandı.
- Kötü niyetli sunucu, MCP Market’e gönderildi.
Bu aşamalarla, kullanıcıların Oura MCP sunucusunu aradıklarında rahatsız edici sunucuyu diğer masum alternatiflerin yanında bulmaları sağlandı. ZIP arşivi aracılığıyla çalıştırıldığında, SmartLoader‘ı yükleyen obfuscate edilmiş bir Lua scripti yürütülüyor.
Etkilenen Sistemler
SmartLoader’ın kurbanları, yazılım geliştiricileri gibi hassas verilere sahip olan yüksek değerli hedeflerdir. Bu sistemlerde API anahtarları, bulut kimlik bilgileri, kripto para cüzdanları ve üretim sistemlerine erişim gibi kritik bilgiler bulunmaktadır. Çalınan veriler daha sonra başka saldırılar için kullanılabilir.
Çözüm ve Korunma
Bu saldırının önlenmesi için önerilen önlemler şunlardır:
- Tüm kurulu MCP sunucularını envanterleyin.
- Kurulumdan önce resmi bir güvenlik incelemesi gerçekleştirin.
- MCP sunucularının kaynağını doğrulayın.
- Şüpheli dışa çıkış trafiği ve kalıcılık mekanizmalarını izleyin.
Yapılan incelemeler, organizasyonların siber güvenlik araçlarını nasıl değerlendirdiğine dair temel zayıflıkları gün yüzüne çıkarmaktadır. SmartLoader‘ın başarısı, güvenlik ekiplerinin ve geliştiricilerin eski güven heuristiklerini yeni bir saldırı alanına uygulamasına bağlıdır.
Sonuç
Kuruluşlar, sistemlerini güncellemeli ve olası saldırılara karşı hazırlıklı olmalıdır. Oura MCP sunucuları ile ilgili her türlü güvenlik incelemesini ciddiye almalı ve yazılım yüklemeleri konusunda dikkatli olmalıdır.
