Pesquisadores de cibersegurança revelaram uma nova campanha chamada SmartLoader, que utiliza uma versão trojanizada de um servidor do Modelo de Contexto de Protocolo (MCP) associado à Oura Health para distribuir um infostealer conhecido como StealC. Os atacantes clonaram um servidor legítimo da Oura, que conecta assistentes de IA aos dados de saúde do Oura Ring, e criaram uma infraestrutura enganosa com repositórios falsos no GitHub para dar credibilidade ao ataque. O objetivo é roubar credenciais, senhas de navegadores e dados de carteiras de criptomoedas. A campanha, que começou a ser destacada em 2024, utiliza repositórios disfarçados como cheats de jogos e software pirata para atrair vítimas. A análise mais recente mostra que os atacantes investiram meses para construir uma rede de contas e repositórios falsos antes de lançar o malware. O ataque é realizado em quatro etapas, culminando na submissão do servidor trojanizado ao mercado MCP, onde usuários desavisados podem encontrá-lo entre opções legítimas. As organizações são aconselhadas a revisar a segurança dos servidores MCP instalados e monitorar tráfego suspeito para mitigar essa ameaça.
Fonte: https://thehackernews.com/2026/02/smartloader-attack-uses-trojanized-oura.html
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
17/02/2026 • Risco: ALTO
MALWARE
Campanha SmartLoader usa servidor Oura MCP para distribuir malware
RESUMO EXECUTIVO
A campanha SmartLoader representa uma ameaça significativa, pois utiliza técnicas sofisticadas para enganar usuários e desenvolvedores. O uso de servidores MCP, que podem conter dados sensíveis, torna a situação ainda mais crítica. A necessidade de uma revisão rigorosa de segurança e monitoramento constante é essencial para proteger informações valiosas.
💼 IMPACTO DE NEGÓCIO
Financeiro
Potenciais perdas financeiras devido ao roubo de dados e à violação de segurança.
Operacional
Roubo de credenciais, senhas e dados de carteiras de criptomoedas.
Setores vulneráveis
['Tecnologia', 'Saúde', 'Finanças']
📊 INDICADORES CHAVE
Cinco contas falsas criadas no GitHub.
Indicador
Um novo repositório malicioso criado sob o nome 'SiddhiBagul'.
Contexto BR
Múltiplos repositórios falsos para dar credibilidade ao ataque.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a autenticidade dos servidores MCP instalados.
2
Estabelecer uma revisão de segurança formal antes da instalação de novos servidores.
3
Monitorar continuamente o tráfego de saída e possíveis mecanismos de persistência.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança de dados sensíveis que podem ser comprometidos por ataques direcionados a desenvolvedores e suas ferramentas.
⚖️ COMPLIANCE
Implicações na conformidade com a LGPD, especialmente em relação ao tratamento de dados pessoais.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
