Хакери викрадають облікові записи Snap Store, щоб просувати зловмисне програмне забезпечення, що викрадає криптографію, на Linux

Хакери криптовалюти використовують надійне програмне забезпечення Linux для викрадення цифрових активів, використовуючи нову техніку, яка перетворює законні пакети Snap Store на шкідливе програмне забезпечення.

Згідно з попередження від учасника Ubuntu і колишній розробник Canonical Алан Поуп.

Метод заснований на ідентифікації прострочених веб-доменів і адрес електронної пошти, пов’язаних із давніми розробниками Snap Store, реєстрації цих доменів, а потім використання відновленого доступу для викрадення облікових записів Snapcraft.

Зловмисники перетворюють законні пакети на шкідливі

Потрапивши всередину, зловмисники оновлюють шкідливі пакети, які раніше були безпечними, застаючи користувачів зненацька за допомогою автоматичних оновлень і давно встановлених сигналів довіри.

Snap Store, як і інші великі сховища пакетів, уже давно є мішенню для кампаній зловмисного програмного забезпечення.

Ранні спроби були відносно нехитрими: шахраї публікували підроблені додатки для крипто-гаманців під новоствореними обліковими записами.

Коли ці спроби стало легше виявляти, зловмисники почали маскувати шкідливі програми за допомогою схожих символів з інших алфавітів, щоб уникнути фільтрів.

За словами Поупа, ця тактика потім перетворилася на підхід «приманки та перемикання». Зловмисники публікували нешкідливе програмне забезпечення під нейтральними назвами, такими як «lemon-throw» або «alpha-hub», часто видаючи за прості ігри. Після схвалення та періоду бездіяльності наступне оновлення тихо запровадить підроблений крипто-гаманець, призначений для крадіжки коштів.

Остання подія підвищує ставки. Принаймні у двох підтверджених випадках зловмисники захопили контроль над простроченими доменами, які колись належали законним видавцям Snap, і використовували їх для розповсюдження зловмисного програмного забезпечення, що краде гаманець, за допомогою автоматичних оновлень.

Уражені програми здавалися нормальними на поверхні, але були створені для збирання фраз відновлення гаманця та передачі їх на сервери, контрольовані зловмисниками.

На той момент, коли користувачі помітили підозрілу поведінку, кошти та конфіденційні дані вже були скомпрометовані.

Відтоді Canonical видалила шкідливі знімки, але Поуп попередив, що відповідь підкреслює глибші недоліки в моделі довіри платформи.

Він сказав, що поглинання доменів підриває довголіття видавців як сигнал безпеки та закликав до додаткових заходів безпеки, включаючи моніторинг закінчення терміну дії домену, посилення перевірки облікових записів для неактивних видавців і вимогу обов’язкової двофакторної автентифікації.

Дослідник безпеки попереджає про відкладене видалення Snap Store

Папа також зазначив затримки з видаленням повідомлених шкідливих знімків, які іноді розтягуються на кілька днів.

Він порадив користувачам проявляти особливу обережність при встановленні криптовалютних гаманців на Linux і завантажувати їх безпосередньо з офіційних веб-сайтів проекту, а не з магазинів програм.

Щоб допомогти користувачам оцінити ризик, Поуп створив SnapScope, веб-інструмент, який перед установкою позначає знімки як підозрілі або шкідливі.

Він також закликав розробників підтримувати активну реєстрацію доменів і захищати облікові записи Snapcraft і електронної пошти за допомогою двофакторної аутентифікації.

За даними Chainalysis, незаконні адреси криптовалюти отримав рекордні 154 мільярди доларів у 2025 роцірізке зростання порівняно з минулим роком.

В іншій справі прокуратура США пред’явили звинувачення 23-річному жителю БруклінаРональда Спектора, який вкрав приблизно 16 мільйонів доларів у криптовалюті приблизно у 100 користувачів Coinbase за допомогою ймовірної схеми фішингу та соціальної інженерії.

Пост Хакери викрадають облікові записи Snap Store, щоб просувати зловмисне програмне забезпечення, що викрадає криптографію, на Linux вперше з’явився на Криптоновини.