Linuxユーザー向けSnap Storeプラットフォームで暗号窃盗バックドアが検出

サイバー犯罪者がCanonicalのSnap Storeの重大な脆弱性を悪用し、信頼できる開発者アカウントを乗っ取って、正規のウォレットアプリケーションを装った暗号通貨窃盗マルウェアを配布しているため、Linuxユーザーは新たな脅威に直面しています。.

SlowMist の最高情報セキュリティ責任者である 23pds (X ハンドル @im23pds) は、攻撃者が、関連付けられているドメイン名の有効期限が切れている開発者アカウントを監視していると警告した。.

Snap Store 攻撃はどのように機能しますか?

23pdsは次のように書いています。「Linuxユーザーの皆様、ご注意ください。Snap Storeで新たなタイプの攻撃が横行しています。期限切れのドメインがハッカーに乗っ取られ、ユーザーの仮想資産を盗むためのバックドアに改造されています。」

改ざんされたアプリケーションは、Exodus、Ledger Live、Trust Walletなどの有名な暗号通貨ウォレットを装い、ユーザーを騙して「ウォレット回復シードフレーズ」を入力させ、資金を完全に盗み出します。」

標的のドメインが期限切れとなり登録可能になると、攻撃者は直ちにそのドメインを購入し、そのドメインに紐付けられたメールアドレスを使ってSnap Storeでパスワードリセットを実行します。これにより、攻撃者はすぐに疑われることなく、長年信頼されてきたパブリッシャーのdentを完全に掌握できるようになります。.

この方法によって少なくとも 2 つの開発者アカウントが侵害されたことが確認されており、storewise.tech と vagueentertainment.com のドメインが攻撃者の手に渡った。.

元Canonical開発者でUbuntu貢献者のアラン・ポープ氏によると、クロアチアを拠点としていると思われる悪意のある攻撃者は、約2年間にわたってSnap Storeユーザーに対する攻撃活動を行っていた。.

ドメイン乗っ取りは、こうした悪質な行為者の最新かつ最も懸念される行動の進化であり、「長年ユーザーがインストールし信頼してきた正規のソフトウェアに、ハッカーが公式更新チャネルを通じて一夜にして悪意のあるコードを挿入する可能性がある」ことを意味する。

23pdsによると、「改ざんされたアプリケーションは通常、Exodus、Ledger Live、Trust Walletなどの有名な暗号ウォレットに偽装されており、インターフェースは本物とほとんど区別がつかない」とのことだ。

彼は、「アプリが起動すると、まずリモートサーバーに接続してネットワークを検証し、その後すぐにユーザーに『ウォレット復元ニーモニックフレーズ』の入力を促します。ユーザーが入力すると、これらの機密情報は即座に攻撃者のサーバーに送信され、資金が盗まれます」と述べました。

攻撃は長年の信頼関係を悪用するため、被害者は何かがおかしいことに気づく前に資金が盗まれたことに気づくことがよくあります。.

主要プラットフォームはドメイン復活攻撃を抑制するために何を行っていますか?

GitHub、PyPI、npmはいずれも 同様のドメイン復活攻撃を。2022年の学術研究では、dent、潜在的な脆弱性の規模が浮き彫りになりました。

2025 年 6 月、Python セキュリティ チームは開発者アカウントから 1,800 件を超える期限切れのメール アドレスを削除し、開発者は次回のログイン時にアクティブなドメインでdent情報を再確認する必要が生じました。. 

この問題は、セキュリティ専門家がインターネット腐敗またはリンク腐敗と呼ぶものから生じており、仕事やメールプロバイダーを移動する開発者がすべてのプラットフォームでアカウント情報を更新せず、悪用可能なセキュリティギャップを生じさせている。.

ポープ氏は、Canonicalは、パブリッシャーアカウントのドメイン有効期限の監視、休眠アカウントの追加検証の要求、2要素認証の強制実装などの安全策を実装することでこの問題に対処する必要があると述べた。.