Hackers secuestran cuentas de Snap Store para distribuir malware que roba criptomonedas en Linux
Hackers de criptomonedas están explotando software confiable de Linux para robar activos digitales, utilizando una nueva técnica que convierte paquetes legítimos de Snap Store en malware.
Puntos clave:
- Hackers están explotando paquetes confiables de Snap Store para robar criptomonedas al secuestrar cuentas existentes de editores.
- Los ataques se basan en dominios y direcciones de correo expirados para distribuir actualizaciones maliciosas.
- Los incidentes revelan debilidades en el modelo de confianza y seguridad de la plataforma.
En lugar de crear cuentas nuevas en Snap Store, operada por Canonical, los atacantes están tomando el control de cuentas existentes de editores, según una advertencia de Alan Pope, colaborador de Ubuntu y ex desarrollador de Canonical.
El método consiste en identificar dominios web y direcciones de correo expirados vinculados a desarrolladores de Snap Store con trayectoria, registrar esos dominios y luego usar el acceso recuperado para secuestrar cuentas de Snapcraft.
Los atacantes convierten paquetes legítimos en maliciosos
Una vez dentro, los atacantes distribuyen actualizaciones maliciosas a paquetes que antes eran benignos, sorprendiendo a los usuarios mediante actualizaciones automáticas y señales de confianza ya establecidas.
Snap Store, al igual que otros repositorios importantes de paquetes, ha sido durante mucho tiempo un objetivo para campañas de malware.
Los primeros intentos eran relativamente poco sofisticados, con estafadores publicando aplicaciones falsas de las mejores wallets de criptomonedas bajo cuentas recién creadas.
Cuando esos intentos se volvieron más fáciles de detectar, los atacantes comenzaron a disfrazar aplicaciones maliciosas usando caracteres similares de otros alfabetos para evadir filtros.
Según Pope, la táctica evolucionó luego hacia un enfoque de cebo y cambio. Los atacantes publicaban software inofensivo bajo nombres neutros como “lemon-throw” o “alpha-hub”, a menudo haciéndose pasar por juegos simples.
Tras la aprobación y un período de inactividad, una actualización posterior introducía discretamente una billetera falsa de criptomonedas diseñada para robar fondos.
El último desarrollo eleva el riesgo. En al menos dos casos confirmados, los atacantes tomaron el control de dominios expirados que alguna vez pertenecieron a editores legítimos de Snap y los usaron para distribuir malware que roba billeteras a través de actualizaciones automáticas.
Las aplicaciones afectadas parecían normales en la superficie, pero estaban diseñadas para recolectar frases de recuperación de billeteras y transmitirlas a servidores controlados por los atacantes.
Para cuando los usuarios notaban comportamientos sospechosos, los fondos y datos sensibles ya estaban comprometidos.
Canonical ha eliminado los snaps maliciosos, pero Pope advirtió que la respuesta pone de manifiesto debilidades más profundas en el modelo de confianza de la plataforma.
Afirmó que los secuestros de dominios socavan la longevidad del editor como señal de seguridad y pidió salvaguardas adicionales, como monitorear la expiración de dominios, aplicar verificaciones más estrictas para editores inactivos y exigir autenticación de dos factores obligatoria.
Investigador de seguridad advierte sobre retrasos en la eliminación de snaps maliciosos en Snap Store
Pope también señaló retrasos en la eliminación de snaps maliciosos reportados, que en ocasiones se extienden por varios días.
Aconsejó a los usuarios extremar la precaución al instalar billeteras de criptomonedas en Linux y considerar descargarlas directamente desde los sitios web oficiales de los proyectos en lugar de tiendas de aplicaciones.
Para ayudar a los usuarios a evaluar el riesgo, Pope creó SnapScope, una herramienta web que marca snaps como sospechosos o maliciosos antes de la instalación.
También instó a los desarrolladores a mantener activos los registros de dominios y proteger las cuentas de Snapcraft y correo electrónico con autenticación de dos factores.
Según Chainalysis, las direcciones ilícitas de criptomonedas recibieron un récord de 154.000 millones de USD en 2025, un fuerte aumento respecto al año anterior.
En otro caso, fiscales estadounidenses han acusado a un residente de Brooklyn de 23 años, Ronald Spektor, de robar aproximadamente 16 millones de USD en las mejores criptomonedas para invertir. Esto afectó a cerca de 100 usuarios de Coinbase mediante un presunto esquema de phishing e ingeniería social.
Últimas noticias:
- La stablecoin RLUSD de Ripple lanzará trading al contado en Binance
- Rendimientos crecientes de los bonos japoneses y tensiones arancelarias empujan al Bitcoin
- Bitpanda lanzará una plataforma de inversión unificada que combina acciones, ETF y cripto
Más
in numbers
