Gli utenti Linux si trovano ad affrontare una nuova minaccia: i criminali informatici sfruttano una vulnerabilità critica nello Snap Store di Canonical, dirottando gli account degli sviluppatori fidati per distribuire malware che rubano criptovalute camuffati da applicazioni di portafoglio legittime.
Il responsabile della sicurezza informatica di SlowMist, 23pds, con l'account X @im23pds, ha avvertito che gli aggressori stanno monitorando gli account degli sviluppatori i cui nomi di dominio associati sono scaduti.
Come funziona l'attacco Snap Store?
23pds ha scritto: "Utenti Linux, fate attenzione: un nuovo tipo di attacco sta imperversando su Snap Store: i domini scaduti sono stati occupati dagli hacker e trasformati in backdoor per rubare le criptovalute degli utenti.
Le applicazioni manomesse sono camuffate da noti portafogli crittografici come Exodus, Ledger Live o Trust Wallet, inducendo gli utenti a inserire la loro "frase di recupero del portafoglio", con conseguente furto completo dei fondi"
Una volta che un dominio di destinazione scade e diventa disponibile per la registrazione, gli aggressori lo acquistano immediatamente, quindi utilizzano l'indirizzo email associato a quel dominio per attivare la reimpostazione della password sullo Snap Store. Ciò garantisce loro il controllo completo sudentdi editori affidabili e consolidate, senza destare sospetti immediati.
È stato confermato che almeno due account di sviluppatori sono stati compromessi tramite questo metodo: i domini storewise.tech e vagueentertainment.com sono caduti nelle mani degli aggressori.
Secondo Alan Pope, ex sviluppatore di Canonical e collaboratore di Ubuntu, gli autori dei malintenzionati, che si ritiene abbiano sede in Croazia, conducono campagne contro gli utenti di Snap Store da circa due anni.
L'acquisizione del dominio è l'ultima e più preoccupante evoluzione dell'azione di questi malintenzionati, poiché ora significa che "un software legittimo installato e considerato affidabile dagli utenti da anni potrebbe essere iniettato da un giorno all'altro da hacker tramite i canali di aggiornamento ufficiali"
Secondo 23pds, "Le applicazioni manomesse sono solitamente camuffate da noti portafogli crittografici come Exodus, Ledger Live o Trust Wallet, con interfacce quasi indistinguibili dalle versioni originali"
Ha affermato: "Dopo l'avvio, l'app si connette innanzitutto a un server remoto per verificare la rete, quindi chiede immediatamente all'utente di inserire la propria 'frase mnemonica di recupero del portafoglio'. Una volta inserita, questi dati sensibili vengono immediatamente trasmessi al server dell'aggressore, con conseguente furto di fondi"
Spesso le vittime scoprono che i loro fondi sono stati rubati prima di accorgersi che qualcosa non va, perché l'attacco sfrutta rapporti di fiducia consolidati.
Cosa stanno facendo le principali piattaforme per limitare gli attacchi di resurrezione del dominio?
GitHub, PyPI e npm hanno subito attacchi di resurrezione di dominio simili. Uno studio accademico del 2022 hadentoltre 2.800 account di sviluppatori npm configurati con indirizzi email i cui domini erano successivamente scaduti, evidenziando l'entità della potenziale vulnerabilità.
Nel giugno 2025, il team di sicurezza di Python ha rimosso più di 1.800 indirizzi email scaduti dagli account degli sviluppatori, costringendoli a verificare nuovamente le propriedentcon domini attivi al successivo accesso.
Il problema nasce da quello che gli esperti di sicurezza chiamano "internet rot" o "link rot", ovvero quando gli sviluppatori che cambiano lavoro o provider di posta elettronica non riescono ad aggiornare le informazioni degli account su tutte le piattaforme, creando lacune di sicurezza sfruttabili.
Pope ha affermato che Canonical deve affrontare il problema implementando misure di sicurezza, che potrebbero consistere nel monitorare la scadenza del dominio sugli account degli editori, richiedere verifiche aggiuntive per gli account inattivi, implementare l'autenticazione obbligatoria a due fattori o altre misure.
