Пользователи Linux столкнулись с новой угрозой: киберпреступники используют критическую уязвимость в Snap Store от Canonical, взламывая доверенные учетные записи разработчиков для распространения вредоносного ПО, крадущего криптовалюту и маскирующегося под легитимные приложения-кошельки.
Главный специалист по информационной безопасности SlowMist, 23pds, зарегистрированный под ником @im23pds, предупредил, что злоумышленники отслеживают учетные записи разработчиков, связанные с которыми, но срок действия доменных имен истек.
Как работает атака на Snap Store?
23pds написал: «Пользователи Linux, будьте осторожны: в Snap Store бушует новый тип атаки — хакеры захватили домены с истекшим сроком действия и превратили их в бэкдоры для кражи криптоактивов пользователей».
Поддельные приложения маскируются под известные криптовалютные кошельки, такие как Exodus, Ledger Live или Trust Wallet, обманом заставляя пользователей вводить свою «фразу восстановления кошелька», что приводит к полной краже средств
Как только срок действия целевого домена истекает и он становится доступным для регистрации, злоумышленники немедленно его покупают, а затем используют связанный с этим доменом адрес электронной почты для запуска сброса паролей в Snap Store. Это дает им полный контроль над давно существующими, заслуживающими доверияdentиздателей, не вызывая при этом подозрений.
По меньшей мере два аккаунта разработчиков были подтверждены как взломанные с использованием этого метода, при этом в руки злоумышленников попали домены storewise.tech и vagueentertainment.com.
Злоумышленники, предположительно базирующиеся в Хорватии, по словам Алана Поупа, бывшего разработчика Canonical и участника проекта Ubuntu, проводят кампании против пользователей Snap Store уже около двух лет.
Захват домена — это последнее и наиболее тревожное проявление действий этих злоумышленников, поскольку теперь это означает, что «в легитимное программное обеспечение, установленное и пользующееся доверием пользователей в течение многих лет, хакеры могут внедрить вредоносный код через официальные каналы обновления за одну ночь»
Согласно 23pds, «поддельные приложения обычно маскируются под известные криптокошельки, такие как Exodus, Ledger Live или Trust Wallet, с интерфейсами, практически неотличимыми от подлинных версий»
Он заявил: «После запуска приложение сначала подключается к удалённому серверу для проверки сети, а затем немедленно запрашивает у пользователя ввод его «мнемонической фразы для восстановления кошелька». После того, как пользователь её введёт, эти конфиденциальные данные мгновенно передаются на сервер злоумышленника, что приводит к краже средств»
Жертвы часто обнаруживают кражу своих средств еще до того, как осознают всю серьезность ситуации, поскольку атака использует давние доверительные отношения.
Какие меры принимают крупные платформы для предотвращения атак с целью восстановления доменов?
GitHub, PyPI и npm столкнулись с аналогичными атаками по восстановлению доменов. В академическом исследовании 2022 года былоdentболее 2800 учетных записей разработчиков npm, настроенных с использованием адресов электронной почты, домены которых впоследствии истекли, что подчеркивает масштаб потенциальной уязвимости.
В июне 2025 года команда безопасности Python удалила более 1800 просроченных адресов электронной почты из учетных записей разработчиков, вынудив разработчиков повторно подтвердить своиdentданные с помощью активных доменов при следующем входе в систему.
Проблема возникает из-за того, что эксперты по безопасности называют «порчей интернета» или «гниением ссылок», когда разработчики, меняющие работу или почтовых провайдеров, не обновляют информацию об учетных записях на всех платформах, создавая уязвимости в системе безопасности, которые можно использовать для взлома.
Поуп заявил, что Canonical необходимо решить эту проблему путем внедрения мер безопасности, которые могут включать мониторинг истечения срока действия доменов в учетных записях издателей, требование дополнительной проверки для неактивных учетных записей, внедрение обязательной двухфакторной аутентификации или другие меры.
