Linux 用户面临新的威胁,网络犯罪分子利用 Canonical 的 Snap Store 中的一个严重漏洞,劫持受信任的开发者帐户,分发伪装成合法钱包应用程序的加密货币窃取恶意软件。.
SlowMist 的首席信息安全官 23pds(其 X 用户名为 @im23pds)警告说,攻击者正在监控关联域名已过期的开发者帐户。.
Snap Store 攻击是如何运作的?
23pds 写道:“Linux 用户请注意:Snap Store 中正在发生一种新型攻击——过期域名已被黑客接管,并被改造成后门来窃取用户的加密资产。
这些被篡改的应用程序伪装成知名的加密钱包,例如 Exodus、Ledger Live 或 Trust Wallet,诱骗用户输入他们的“钱包恢复助记词”,从而导致资金被完全盗走。
一旦目标域名过期并可供注册,攻击者会立即购买该域名,然后使用与该域名关联的电子邮件地址在 Snap Store 上触发密码重置。这使他们能够完全控制长期建立的、受信任的发布商dent,而不会立即引起怀疑。.
至少有两个开发者帐户已被证实通过这种方法遭到入侵,域名 storewise.tech 和 vagueentertainment.com 落入了攻击者手中。.
据前 Canonical 开发人员兼 Ubuntu 贡献者 Alan Pope 称,这些恶意行为者据信位于克罗地亚,他们已经针对 Snap Store 用户开展了大约两年的攻击活动。.
域名接管是这些不良行为者行动的最新也是最令人担忧的演变,因为它现在意味着“用户多年来安装和信任的合法软件可能会在一夜之间被黑客通过官方更新渠道注入恶意代码”。
据 23pds 称,“篡改后的应用程序通常伪装成知名的加密钱包,例如 Exodus、Ledger Live 或 Trust Wallet,其界面几乎与正版钱包无法区分。”
他表示:“该应用程序启动后,首先会连接到远程服务器以验证网络,然后立即提示用户输入‘钱包恢复助记词’。一旦用户提交,这些敏感信息就会立即传输到攻击者的服务器,导致资金被盗。”
受害者往往在发现任何异常之前就发现自己的资金被盗,因为这种攻击利用了长期存在的信任关系。.
各大平台正在采取哪些措施来遏制域名复活攻击?
GitHub、PyPI 和 npm 都曾遭受过类似的域名复活攻击。2022 年的一项学术研究dent,超过 2800 个 npm 开发者账户配置的电子邮件地址对应的域名后来都已过期,这凸显了潜在漏洞的严重性。
2025 年 6 月,Python 安全团队从开发者帐户中删除了 1800 多个过期的电子邮件地址,迫使开发者在下次登录时使用有效的域名重新验证其dent。.
这个问题源于安全专家所说的互联网或链接失效,即开发人员在不同工作或电子邮件提供商之间流动时,未能更新所有平台上的帐户信息,从而造成可被利用的安全漏洞。.
Pope 表示,Canonical 需要通过实施保障措施来解决这个问题,这些措施包括监控发布商帐户的域名到期情况、要求对休眠帐户进行额外验证、实施强制性双因素身份验证或其他措施。.
