Les utilisateurs de Linux sont confrontés à une nouvelle menace : des cybercriminels exploitent une vulnérabilité critique du Snap Store de Canonical, détournant des comptes de développeurs de confiance pour distribuer des logiciels malveillants de vol de cryptomonnaie déguisés en applications de portefeuille légitimes.
Le responsable de la sécurité informatique de SlowMist, 23pds, dont le pseudo X est @im23pds, a averti que des attaquants surveillent les comptes de développeurs dont les noms de domaine associés ont expiré.
Comment fonctionne l'attaque du Snap Store ?
23pds a écrit: « Utilisateurs Linux, attention : un nouveau type d'attaque fait rage sur le Snap Store — des domaines expirés ont été repris par des pirates informatiques et transformés en portes dérobées pour voler les actifs cryptographiques des utilisateurs.
Les applications trafiquées se font passer pour des portefeuilles crypto bien connus tels que Exodus, Ledger Live ou Trust Wallet, incitant les utilisateurs à saisir leur « phrase de récupération de portefeuille », ce qui entraîne le vol total des fonds
Dès qu'un nom de domaine cible expire et devient disponible à l'enregistrement, les attaquants l'achètent immédiatement, puis utilisent l'adresse e-mail associée pour réinitialiser les mots de passe sur le Snap Store. Cela leur permet de contrôler entièrement lesdentd'éditeurs de confiance, établis de longue date, sans éveiller immédiatement les soupçons.
Au moins deux comptes de développeurs ont été confirmés compromis par cette méthode, les domaines storewise.tech et vagueentertainment.com étant tombés entre les mains des attaquants.
Les auteurs de ces actes malveillants, que l'on pense basés en Croatie selon Alan Pope, ancien développeur chez Canonical et contributeur à Ubuntu, mènent des campagnes contre les utilisateurs du Snap Store depuis environ deux ans.
La prise de contrôle du domaine est la dernière et la plus inquiétante évolution des agissements de ces acteurs malveillants, car elle signifie désormais que « des logiciels légitimes, installés et utilisés en toute confiance par les utilisateurs depuis des années, pourraient être contaminés par des logiciels malveillants injectés par des pirates informatiques via les canaux de mise à jour officiels du jour au lendemain »
Selon 23pds, « les applications falsifiées sont généralement déguisées en portefeuilles crypto bien connus tels que Exodus, Ledger Live ou Trust Wallet, avec des interfaces presque impossibles à distinguer des versions authentiques. »
Il a déclaré : « Après le lancement de l'application, celle-ci se connecte d'abord à un serveur distant pour vérifier le réseau, puis invite immédiatement l'utilisateur à saisir sa "phrase mnémonique de récupération de portefeuille". Une fois que l'utilisateur l'a soumise, ces informations sensibles sont instantanément transmises au serveur de l'attaquant, ce qui entraîne le vol des fonds. »
Les victimes découvrent souvent le vol de leurs fonds avant même de remarquer quoi que ce soit d'anormal, car l'attaque exploite des relations de confiance établies de longue date.
Que font les principales plateformes pour endiguer les attaques par résurrection de domaine ?
GitHub, PyPI et npm ont tous été victimes d'attaques similaires de résurrection de domaine. Une étude universitaire de 2022 adentplus de 2 800 comptes de développeurs npm configurés avec des adresses électroniques dont les domaines avaient expiré par la suite, soulignant l'ampleur de cette vulnérabilité potentielle.
En juin 2025, l'équipe de sécurité de Python a supprimé plus de 1 800 adresses électroniques expirées des comptes de développeurs, obligeant ces derniers à revérifier leursdentavec des domaines actifs lors de leur prochaine connexion.
Le problème provient de ce que les experts en sécurité appellent la dégradation des liens Internet, où les développeurs qui changent d'emploi ou de fournisseur de messagerie électronique omettent de mettre à jour leurs informations de compte sur toutes les plateformes, créant ainsi des failles de sécurité exploitables.
Pope a déclaré que Canonical devait s'attaquer au problème en mettant en œuvre des mesures de protection, qui pourraient consister à surveiller l'expiration des domaines sur les comptes d'éditeurs, à exiger une vérification supplémentaire pour les comptes inactifs, à mettre en œuvre une authentification à deux facteurs obligatoire ou à d'autres mesures.
