Una nueva campaña de la botnet SmartLoader demuestra una paciencia aterradora: los atacantes pasaron meses creando perfiles de GitHub falsos y simulando ser una comunidad de código abierto legítima solo para envenenar los directorios de herramientas de Inteligencia Artificial.
Los atacantes han dejado de apuntar al usuario promedio que busca software pirata; ahora van por los peces gordos: los desarrolladores. Hoy 17 de febrero de 2026, que el equipo de investigación de inteligencia artificial de Straiker (STAR Labs) ha descubierto una campaña altamente sofisticada que abusa de la confianza en el ecosistema de herramientas de IA.
El objetivo de los ciberdelincuentes fue distribuir el infostealer StealC (un ladrón de contraseñas y criptomonedas) utilizando un vector de ataque muy novedoso: un servidor troyanizado del Model Context Protocol (MCP) para el anillo inteligente Oura Ring.
¿Qué es el MCP y por qué es un blanco perfecto?
El Model Context Protocol (MCP) es un estándar abierto que permite a los asistentes de Inteligencia Artificial (como Claude o herramientas personalizadas) conectarse de forma segura a fuentes de datos locales o externas. En este caso, un servidor MCP legítimo de Oura permite que una IA analice tus datos de salud y sueño del anillo. Los desarrolladores integran constantemente estos servidores en sus proyectos, descargándolos de registros públicos como MCP Market.
La Paciencia del Cazador (SmartLoader)
La red de malware conocida como SmartLoader (activa desde 2024) solía distribuir virus en falsos repositorios de trampas para videojuegos. Pero esta vez, el nivel de ingeniería social fue magistral, desarrollándose en cuatro fases:
- Creación de la “Comunidad Fantasma”: Los atacantes crearon al menos 5 cuentas falsas en GitHub (con nombres como YuzeHao2023, punkpeye, etc.) para generar “forks” (copias) del repositorio original del servidor MCP de Oura, haciéndolo parecer un proyecto muy popular y activo.
- El Repositorio Envenenado: Bajo otra cuenta falsa llamada “SiddhiBagul”, publicaron la versión que contenía la carga útil maliciosa.
- Credibilidad Artificial: Añadieron a sus propias cuentas falsas como “colaboradores” del proyecto para darle una falsa pátina de legitimidad y revisión por pares, excluyendo deliberadamente al autor original.
- Infiltración en el Mercado: Enviaron este servidor troyanizado al directorio legítimo MCP Market.
La Infección
Cuando un desarrollador incauto busca integrar datos de Oura en su app de IA, encuentra este servidor en el directorio público. Al descargarlo y ejecutarlo, el archivo ZIP despliega un script ofuscado en Lua. Este script invoca a SmartLoader, el cual descarga e instala silenciosamente StealC. A partir de ese momento, las claves API, credenciales de la nube (AWS/Azure), billeteras de criptomonedas y código fuente del desarrollador son enviados a los servidores de los atacantes.
El Cambio de Paradigma
“A diferencia de las campañas oportunistas que priorizan la velocidad y el volumen, SmartLoader invirtió meses en construir credibilidad”, señala el reporte de Straiker. Saben que infectar a un solo desarrollador corporativo vale mucho más que infectar a miles de usuarios domésticos, ya que el equipo del desarrollador contiene las llaves maestras para ataques de cadena de suministro mayores.
Recomendaciones para Equipos de Desarrollo (DevSecOps)
Esta campaña expone una debilidad fundamental en cómo evaluamos las herramientas de IA.
- No confíes en las “Estrellas” de GitHub: Las métricas de popularidad, forks y contribuidores son fácilmente falsificables.
- Auditoría de Origen: Antes de integrar un servidor MCP de un directorio público de IA, rastrea el repositorio hasta su autor original (a menudo la empresa oficial, en este caso, Oura Health o un mantenedor verificado).
- Revisión de Código Obligatoria: Si el código contiene scripts de inicialización ofuscados (como el archivo Lua usado aquí), trátalo como malware inmediatamente.
