Linux-Nutzer sehen sich einer neuen Bedrohung gegenüber, da Cyberkriminelle eine kritische Sicherheitslücke im Snap Store von Canonical ausnutzen und vertrauenswürdige Entwicklerkonten kapern, um Malware zum Diebstahl von Kryptowährungen zu verbreiten, die als legitime Wallet-Anwendungen getarnt ist.
Der Chief Information Security Officer von SlowMist, 23pds, der unter dem X-Handle @im23pds bekannt ist, warnte davor, dass Angreifer Entwicklerkonten überwachen, deren zugehörige Domainnamen abgelaufen sind.
Wie funktioniert ein Snap Store-Angriff?
23pds schrieb: „Linux-Nutzer aufgepasst: Eine neue Art von Angriff grassiert im Snap Store – abgelaufene Domains wurden von Hackern übernommen und in Hintertüren umgewandelt, um die Krypto-Assets der Nutzer zu stehlen.“
Die manipulierten Anwendungen sind als bekannte Krypto-Wallets wie Exodus, Ledger Live oder Trust Wallet getarnt und verleiten die Benutzer zur Eingabe ihrer „Wallet-Wiederherstellungsphrase“, was zum vollständigen Diebstahl der Gelder führt.“
Sobald eine Zieldomain abläuft und wieder zur Registrierung verfügbar ist, erwerben die Angreifer diese umgehend und nutzen anschließend die mit der Domain verknüpfte E-Mail-Adresse, um im Snap Store Passwortzurücksetzungen auszulösen. Dadurch erlangen sie die vollständige Kontrolle über etablierte und vertrauenswürdige Publisher-dent, ohne sofort Verdacht zu erregen.
Mindestens zwei Entwicklerkonten wurden nachweislich mit dieser Methode kompromittiert, wobei die Domains storewise.tech und vagueentertainment.com in die Hände der Angreifer gelangten.
Laut Alan Pope, einem ehemaligen Entwickler von Canonical und Ubuntu-Mitwirkenden, führen die böswilligen Akteure seit etwa zwei Jahren Kampagnen gegen Snap Store-Nutzer durch. Sie sollen ihren Sitz in Kroatien haben.
Die Übernahme von Domains ist die neueste und besorgniserregendste Entwicklung im Vorgehen dieser Übeltäter, denn sie bedeutet nun, dass „legitime Software, die von Nutzern seit Jahren installiert und geschätzt wird, über Nacht durch offizielle Update-Kanäle von Hackern mit Schadcode infiziert werden kann.“
Laut 23pds sind die manipulierten Anwendungen in der Regel als bekannte Krypto-Wallets wie Exodus, Ledger Live oder Trust Wallet getarnt und weisen Benutzeroberflächen auf, die von den Originalversionen kaum zu unterscheiden sind
Er erklärte: „Nach dem Start der App verbindet sie sich zunächst mit einem Remote-Server, um das Netzwerk zu überprüfen, und fordert den Benutzer dann sofort zur Eingabe seiner Wallet-Wiederherstellungsphrase auf. Sobald der Benutzer diese eingibt, werden diese sensiblen Daten umgehend an den Server des Angreifers übermittelt, was zum Diebstahl der Gelder führt.“
Oft bemerken die Opfer den Diebstahl ihrer Gelder, bevor sie überhaupt merken, dass etwas nicht stimmt, da der Angriff langjährige Vertrauensverhältnisse ausnutzt.
Was unternehmen die großen Plattformen, um Domain-Resurrection-Angriffe einzudämmen?
GitHub, PyPI und npm waren alle von ähnlichen Domain-Resurrection-Angriffen. Eine wissenschaftliche Studie aus dem Jahr 2022dentüber 2.800 npm-Entwicklerkonten, die mit E-Mail-Adressen konfiguriert waren, deren Domains inzwischen abgelaufen waren, was das Ausmaß der potenziellen Sicherheitslücke verdeutlicht.
Im Juni 2025 entfernte das Python-Sicherheitsteam mehr als 1.800 abgelaufene E-Mail-Adressen aus Entwicklerkonten und zwang die Entwickler so, ihredentbei der nächsten Anmeldung mit aktiven Domains erneut zu bestätigen.
Das Problem rührt von dem her, was Sicherheitsexperten als Internet- oder Link-Rot bezeichnen. Dabei versäumen es Entwickler, die zwischen verschiedenen Jobs oder E-Mail-Anbietern wechseln, ihre Kontoinformationen auf allen Plattformen zu aktualisieren, wodurch ausnutzbare Sicherheitslücken entstehen.
Pope erklärte, Canonical müsse das Problem durch die Implementierung von Schutzmaßnahmen angehen, wie beispielsweise die Überwachung des Ablaufs von Domains auf Publisher-Konten, die Anforderung zusätzlicher Verifizierungen für ruhende Konten, die Einführung einer obligatorischen Zwei-Faktor-Authentifizierung oder andere Maßnahmen.
