يواجه مستخدمو نظام لينكس تهديدًا جديدًا حيث يستغل مجرمو الإنترنت ثغرة أمنية خطيرة في متجر سناب التابع لشركة كانونيكال، ويختطفون حسابات المطورين الموثوق بهم لتوزيع برامج ضارة لسرقة العملات المشفرة متنكرة في هيئة تطبيقات محفظة شرعية.
حذر كبير مسؤولي أمن المعلومات في شركة SlowMist، 23pds، الذي يحمل اسم المستخدم X @im23pds، من أن المهاجمين يراقبون حسابات المطورين التي انتهت صلاحية أسماء النطاقات المرتبطة بها.
كيف يعمل هجوم متجر سناب شات؟
كتب 23pds: "مستخدمو لينكس، احذروا: نوع جديد من الهجمات ينتشر في متجر سناب - تم الاستيلاء على النطاقات المنتهية الصلاحية من قبل المتسللين وتحويلها إلى أبواب خلفية لسرقة أصول العملات المشفرة للمستخدمين."
تتنكر التطبيقات المُعدّلة في هيئة محافظ عملات رقمية معروفة مثل Exodus أو Ledger Live أو Trust Wallet، مما يخدع المستخدمين ويدفعهم إلى إدخال عبارة استعادة المحفظة، الأمر الذي يؤدي إلى سرقة الأموال بالكامل
بمجرد انتهاء صلاحية نطاق مستهدف وإتاحته للتسجيل، يقوم المهاجمون بشرائه فورًا، ثم يستخدمون عنوان البريد الإلكتروني المرتبط بهذا النطاق لإعادة تعيين كلمات المرور على متجر سناب. يمنحهم هذا سيطرة كاملة علىdentناشرين موثوقين وذوي سمعة طيبة دون إثارة الشكوك بشكل فوري.
تم التأكد من اختراق حسابين للمطورين على الأقل باستخدام هذه الطريقة، حيث وقعت النطاقات storewise.tech و vagueentertainment.com في أيدي المهاجمين.
يقوم هؤلاء الأشخاص الخبيثون، الذين يُعتقد أنهم يتخذون من كرواتيا مقراً لهم وفقاً لآلان بوب، وهو مطور سابق في شركة كانونيكال ومساهم في نظام أوبونتو، بشن حملات ضد مستخدمي متجر سناب منذ ما يقرب من عامين.
يُعد الاستيلاء على النطاق أحدث وأكثر تطورات أعمال هؤلاء الفاعلين السيئين إثارة للقلق، لأنه يعني الآن أن "البرامج الشرعية التي تم تثبيتها والتي يثق بها المستخدمون لسنوات يمكن أن تحتوي على رمز خبيث تم حقنه بواسطة المتسللين من خلال قنوات التحديث الرسمية بين عشية وضحاها"
وفقًا لموقع 23pds، "عادة ما يتم إخفاء التطبيقات التي تم التلاعب بها على أنها محافظ عملات مشفرة معروفة مثل Exodus أو Ledger Live أو Trust Wallet، بواجهات يصعب تمييزها تقريبًا عن الإصدارات الأصلية"
وذكر قائلاً: "بعد تشغيل التطبيق، يتصل أولاً بخادم بعيد للتحقق من الشبكة، ثم يطلب من المستخدم على الفور إدخال عبارة استعادة المحفظة. وبمجرد أن يرسلها المستخدم، يتم إرسال هذه التفاصيل الحساسة على الفور إلى خادم المهاجم، مما يؤدي إلى سرقة الأموال."
غالباً ما يكتشف الضحايا سرقة أموالهم قبل أن يلاحظوا وجود أي خطأ، لأن الهجوم يستغل علاقات الثقة طويلة الأمد.
ما الذي تفعله المنصات الرئيسية للحد من هجمات إعادة إحياء النطاقات؟
تعرضت منصات GitHub وPyPI وnpm لهجمات مماثلة لاستعادة النطاقاتدراسة أكاديمية أجريت عام 2022dentأكثر من 2800 حساب مطور npm مُهيأة بعناوين بريد إلكتروني انتهت صلاحية نطاقاتها لاحقًا، مما يسلط الضوء على حجم الثغرات الأمنية المحتملة.
في يونيو 2025، قام فريق أمان بايثون بإزالة أكثر من 1800 عنوان بريد إلكتروني منتهي الصلاحية من حسابات المطورين، مما أجبر المطورين على إعادة التحقق من بياناتdentباستخدام نطاقات نشطة عند تسجيل دخولهم التالي.
تكمن المشكلة فيما يسميه خبراء الأمن "فساد الإنترنت" أو "فساد الروابط"، حيث يفشل المطورون الذين ينتقلون بين الوظائف أو مزودي البريد الإلكتروني في تحديث معلومات الحساب عبر جميع المنصات، مما يخلق ثغرات أمنية قابلة للاستغلال.
صرح البابا بأن شركة Canonical بحاجة إلى معالجة هذه المشكلة من خلال تطبيق إجراءات وقائية، والتي يمكن أن تشمل مراقبة انتهاء صلاحية النطاق على حسابات الناشرين، أو اشتراط التحقق الإضافي للحسابات الخاملة، أو تطبيق المصادقة الثنائية الإلزامية، أو غيرها من التدابير.
