Компания SlowMist, занимающаяся безопасностью блокчейн, отметила новый вектор атаки на базе Linux, который использует доверенные приложения, распространяемые через Snap Store, для кражи исходных фраз пользователей для восстановления криптовалюты.
В сообщении на X директор по информационной безопасности SlowMist, 23pds, заявил, что злоумышленники злоупотребляют доменами с истекшим сроком действия, чтобы захватить давние учетные записи издателей Snap Store и распространить вредоносные обновления по официальным каналам.
Сообщается, что скомпрометированные приложения выдают себя за популярные криптовалютные кошельки, включая Exodus, Ledger Live и Trust Wallet, используя интерфейсы, очень напоминающие легальное программное обеспечение.
После установки или обновления вредоносные приложения предлагают пользователям вводить фразы для восстановления кошелька, что позволяет злоумышленникам украсть учетные данные и вывести средства, при этом пользователи не осознают, что они были скомпрометированы.
Злоумышленники используют домены с истекшим сроком действия для захвата издателей Snap Store
Snap Store — это официальный магазин приложений Linux, используемый для распространения программного обеспечения, упакованного в формате, называемом «snap». Обычно его считают эквивалентом Apple App Store в macOS и Microsoft Store в Windows.
В SlowMist заявили, что атака основана на мониторинге учетных записей разработчиков Snap Store, связанных с доменами, срок действия которых истек, но ранее были связаны с законными издателями.
По истечении срока действия домена злоумышленники могут перерегистрировать его и использовать привязанные к домену адреса электронной почты для сброса учетных данных учетной записи Snap Store.
Руководитель SlowMist заявил, что этот процесс позволяет злоумышленникам незаметно получить контроль над учетными записями издателей с существующей историей загрузок и активными пользователями. Отсюда вредоносный код может распространяться через обычные обновления программного обеспечения, а не через новые установки.
SlowMist подтвердил, что два домена издателя, а именно «storewise[.]tech» и «vagueentertainment[.]com», были скомпрометированы с использованием вектора атаки. Сообщается, что приложения, привязанные к учетным записям, были модифицированы, чтобы выдавать себя за известные криптовалютные кошельки.
Атаки на цепочки поставок растут по мере того, как эксплойты криптовалют становятся все более изощренными
Вектор атак Snap Store соответствует более широкому изменению угроз, связанных с криптовалютой, когда злоумышленники все чаще нацеливаются на инфраструктуру и каналы распространения, а не на код смарт-контракта.
Данные CertiK, предоставленные Cointelegraph в декабре, показали, что общие потери от взлома криптовалюты достигли 3,3 миллиарда долларов в 2025 году, несмотря на резкое снижение количества отдельных инцидентов.
В CertiK заявили, что потери сконцентрировались в меньшем количестве, но более разрушительных атак на цепочки поставок, в результате которых потери всего в двух инцидентах составили 1,45 миллиарда долларов.
Тенденция предполагает, что по мере улучшения безопасности на уровне протоколов злоумышленники переходят к более эффективной тактике, использующей доверительные отношения, обновления программного обеспечения и стороннюю инфраструктуру.
