리눅스 사용자들은 사이버 범죄자들이 캐노니컬의 스냅 스토어에서 발견된 심각한 취약점을 악용하여 신뢰할 수 있는 개발자 계정을 탈취하고 합법적인 지갑 애플리케이션으로 위장한 암호화폐 탈취 악성코드를 배포하는 새로운 위협에 직면하고 있습니다.
SlowMist의 최고 정보 보안 책임자인 23pds(X 계정 아이디: @im23pds)는 공격자들이 도메인 이름이 만료된 개발자 계정을 모니터링하고 있다고 경고했습니다.
스냅 스토어 공격은 어떻게 작동하나요?
23pds는"리눅스 사용자 여러분, 주의하세요. 스냅 스토어에서 새로운 유형의 공격이 기승을 부리고 있습니다. 해커들이 만료된 도메인을 탈취하여 사용자들의 암호화폐 자산을 훔치는 백도어로 만들고 있습니다."
변조된 애플리케이션은 Exodus, Ledger Live 또는 Trust Wallet과 같은 잘 알려진 암호화폐 지갑으로 위장하여 사용자가 '지갑 복구 시드 구문'을 입력하도록 유도하고, 결과적으로 자금을 완전히 탈취합니다
공격자는 대상 도메인의 만료일을 넘겨 재등록이 가능해지면 즉시 해당 도메인을 구매한 후, 해당 도메인에 연결된 이메일 주소를 이용해 스냅 스토어에서 비밀번호 재설정을 유도합니다. 이를 통해 공격자는 오랫동안 신뢰받아온 게시자의dent완전히 장악하면서도 즉각적인 의심을 사지 않습니다.
이 방법을 이용해 최소 두 개의 개발자 계정이 해킹당한 것으로 확인되었으며, storewise.tech와 vagueentertainment.com 도메인이 공격자의 손에 넘어갔습니다.
전 Canonical 개발자이자 Ubuntu 기여자였던 Alan Pope에 따르면, 크로아티아에 기반을 둔 것으로 추정되는 악의적인 공격자들은 약 2년 동안 Snap Store 사용자들을 대상으로 공격을 감행해 왔습니다.
도메인 탈취는 이러한 악의적인 행위자들의 활동에서 가장 최근이자 가장 우려스러운 진화 형태입니다. 이는 "사용자들이 수년 동안 설치하고 신뢰해 온 합법적인 소프트웨어에 해커가 공식 업데이트 채널을 통해 하룻밤 사이에 악성 코드를 주입할 수 있다"는 것을 의미합니다
23pds에 따르면, "변조된 애플리케이션은 일반적으로 Exodus, Ledger Live 또는 Trust Wallet과 같은 잘 알려진 암호화폐 지갑으로 위장되어 있으며, 인터페이스는 정품과 거의 구별할 수 없습니다."
그는 "앱이 실행되면 먼저 원격 서버에 연결하여 네트워크를 확인한 다음, 사용자에게 '지갑 복구 니모닉 구문'을 입력하라는 메시지를 즉시 표시합니다. 사용자가 이를 제출하면 이러한 민감한 정보가 공격자의 서버로 즉시 전송되어 자금이 탈취됩니다."라고 말했습니다
피해자들은 공격이 오랜 신뢰 관계를 악용하기 때문에 문제가 있다는 사실을 알아차리기 전에 자금이 도난당했다는 사실을 발견하는 경우가 많습니다.
주요 플랫폼들은 도메인 부활 공격을 막기 위해 어떤 조치를 취하고 있습니까?
경험했습니다 유사한 도메인 복구 공격을. 2022년 한 학술 연구에서는dent도메인이 만료된 이메일 주소로 설정된 2,800개 이상의 npm 개발자 계정을 확인하여 잠재적 취약성의 규모를 보여주었습니다
2025년 6월, 파이썬 보안팀은 개발자 계정에서 만료된 이메일 주소 1,800개 이상을 삭제하여 개발자들이 다음 로그인 시 활성 도메인으로dent증명을 다시 인증하도록 했습니다.
이 문제는 보안 전문가들이 '인터넷 오류' 또는 '링크 오류'라고 부르는 현상에서 비롯됩니다. 개발자들이 직장을 옮기거나 이메일 제공업체를 변경하면서 모든 플랫폼에서 계정 정보를 업데이트하지 않아 악용 가능한 보안 취약점이 발생하는 것입니다.
포프는 캐노니컬이 퍼블리셔 계정의 도메인 만료 모니터링, 휴면 계정에 대한 추가 인증 요구, 2단계 인증 의무화 또는 기타 조치를 통해 안전장치를 마련하여 이 문제를 해결해야 한다고 밝혔습니다.
