Компанія безпеки блокчейнів SlowMist помітила новий вектор атаки на базі Linux, який використовує надійні програми, що розповсюджуються через Snap Store, для викрадення початкових фраз для відновлення криптовалюти користувачів.
У дописі на X керівник інформаційної безпеки SlowMist, 23pds, сказав, що зловмисники зловживають простроченими доменами, щоб захопити давні облікові записи видавців Snap Store і поширювати шкідливі оновлення через офіційні канали.
Повідомляється, що скомпрометовані програми видають себе за популярні криптовалютні гаманці, включаючи Exodus, Ledger Live і Trust Wallet, використовуючи інтерфейси, які дуже нагадують законне програмне забезпечення.
Після встановлення або оновлення шкідливі програми пропонують користувачам ввести фрази для відновлення гаманця, що дозволяє зловмисникам викрадати облікові дані та викачувати кошти, не підозрюючи, що користувачі їх зламали.
Зловмисники використовують прострочені домени, щоб захопити видавців Snap Store
Snap Store — це офіційний магазин додатків Linux, який використовується для розповсюдження програмного забезпечення у форматі, що називається «захоплення». Його зазвичай вважають Linux-еквівалентом Apple App Store для macOS і Microsoft Store для Windows.
SlowMist заявив, що атака базується на моніторингу облікових записів розробників Snap Store, пов’язаних із доменами, термін дії яких закінчився, але раніше були пов’язані з законними видавцями.
Після закінчення терміну дії домену зловмисники можуть повторно зареєструвати його та використовувати прив’язані до домену адреси електронної пошти для скидання облікових даних облікового запису Snap Store.
Керівник SlowMist сказав, що цей процес дозволяє зловмисникам тихо взяти під контроль облікові записи видавців із наявною історією завантажень і активними користувачами. Звідти шкідливий код можна проштовхнути через звичайні оновлення програмного забезпечення, а не свіжі інсталяції.
SlowMist підтвердив, що два домени видавців, а саме «storewise[.]tech» і «vagueentertainment[.]com», були скомпрометовані за допомогою вектора атаки. Повідомляється, що програми, пов’язані з обліковими записами, були модифіковані, щоб видати себе за відомі гаманці криптовалюти.
Атаки на ланцюги поставок зростають, оскільки використання криптовалюти стає все більш витонченим
Вектор атаки Snap Store узгоджується з ширшим зрушенням у загрозах, пов’язаних із криптовалютою, де зловмисники все частіше націлюються на інфраструктуру та канали розподілу, а не на код смарт-контракту.
Дані CertiK, надані Cointelegraph у грудні, показали, що загальні збитки від злому криптовалюти досягли 3,3 мільярда доларів у 2025 році, незважаючи на різке зниження кількості окремих інцидентів.
У CertiK заявили, що збитки зосереджені в меншій кількості, але більш згубних атаках на ланцюги поставок, які спричинили збитки в розмірі 1,45 мільярда доларів лише за два інциденти.
Тенденція свідчить про те, що з підвищенням безпеки на рівні протоколу зловмисники переходять до більш ефективних тактик, які використовують довірчі відносини, оновлення програмного забезпечення та інфраструктуру сторонніх розробників.
