Хакеры используют доверенные программные пакеты в Linux для кражи цифровых активов, применяя новую тактику, превращающую легитимные приложения из Snap Store в вредоносное ПО.
Ключевые моменты:
- Злоумышленники используют доверенные пакеты Snap Store для кражи криптовалюты, захватывая существующие аккаунты издателей.
- Атаки основаны на использовании истекших доменов и адресов электронной почты для распространения вредоносных обновлений.
- Инциденты выявляют уязвимости в модели доверия и безопасности платформы.
Вместо создания новых учетных записей в Snap Store, который курируется Canonical, атакующие теперь перехватывают уже существующие аккаунты издателей, согласно предупреждению от контрибьютора Ubuntu и бывшего разработчика Canonical Алана Поупа.
Метод заключается в поиске истекших веб-доменов и адресов электронной почты, связанных с давними разработчиками Snap Store, регистрации этих доменов и последующем использовании восстановленного доступа для захвата учетных записей Snapcraft.
Злоумышленники Превращают Легитимные Пакеты во Вредоносные
Оказавшись внутри, хакеры внедряют вредоносные обновления в ранее безопасные пакеты, заставая пользователей врасплох благодаря автоматическим обновлениям и устоявшимся сигналам доверия.
Snap Store, как и другие крупные репозитории пакетов, давно является целью вредоносных кампаний.
Ранние попытки были довольно примитивными: мошенники публиковали поддельные приложения для криптокошельков под вновь созданными аккаунтами.
Когда эти попытки стало легче обнаружить, злоумышленники начали маскировать вредоносные приложения, используя похожие символы из других алфавитов для обхода фильтров.
По словам Поупа, затем тактика эволюционировала в схему «приманка и подмена». Хакеры публиковали безвредное ПО под нейтральными названиями, такими как «lemon-throw» или «alpha-hub», часто выдавая себя за разработчиков простых игр. После одобрения и периода бездействия последующее обновление незаметно внедряло фальшивый криптокошелек, предназначенный для кражи средств.
Последняя разработка значительно повышает ставки. По меньшей мере в двух подтвержденных случаях злоумышленники получили контроль над доменами, срок регистрации которых истек у легитимных издателей Snap, и использовали их для распространения вредоносного ПО для кражи кошельков через автоматические обновления.
Затронутые приложения выглядели на поверхности нормально, но были созданы для сбора фраз восстановления кошельков и передачи их на серверы, контролируемые хакерами.
К тому времени, когда пользователи замечали подозрительное поведение, средства и конфиденциальные данные уже были скомпрометированы.
Canonical с тех пор удалила вредоносные снапы, однако Поуп предупредил, что эти инциденты указывают на более глубокие уязвимости в модели доверия платформы.
Он заявил, что перехват доменов подрывает долгосрочное доверие к издателям как к сигналу безопасности, и призвал к внедрению дополнительных мер защиты, включая мониторинг истечения сроков действия доменов, обеспечение более строгой верификации учетных записей для неактивных издателей и обязательное внедрение двухфакторной аутентификации.
Исследователь Безопасности Предупреждает о Задержках в Удалении Вредоносных Снапов
Поуп также отметил задержки в удалении заявленных вредоносных снапов, которые порой растягиваются на несколько дней.
Он посоветовал пользователям проявлять повышенную осторожность при установке криптокошельков на Linux и рассмотреть возможность их загрузки непосредственно с официальных сайтов проектов, а не из магазинов приложений.
Чтобы помочь пользователям оценить риски, Поуп разработал SnapScope — веб-инструмент, который помечает снапы как подозрительные или вредоносные до их установки.
Он также настоятельно призвал разработчиков поддерживать активной регистрацию доменов и защищать учетные записи Snapcraft и электронной почты двухфакторной аутентификацией.
По данным Chainalysis, в 2025 году на адреса, связанные с незаконной криптовалютной деятельностью, поступил рекордный объем в $154 млрд, что является резким увеличением по сравнению с предыдущим годом.
В другом случае прокуратура США обвинила 23-летнего жителя Бруклина Рональда Спектора в краже около 16 миллионов долларов в криптовалюте у примерно 100 пользователей Coinbase посредством предполагаемой фишинговой схемы и социальной инженерии.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Amin ayan




