Hackerek átveszik a Snap Store-fiókokat, hogy kriptotolvaj malware-t terjesszenek Linuxon
A kriptovaluta-hackerek megbízható Linux-szoftvereket használnak ki digitális eszközök ellopásához, egy új technikával, amely legitim Snap Store-csomagokat változtat malware-ré.
Ahelyett, hogy új fiókokat hoznának létre a Snap Store-on, amelyet a Canonical üzemeltet, a támadók most meglévő kiadói fiókokat vesznek át, egy Ubuntu közreműködő és korábbi Canonical-fejlesztő, Alan Pope figyelmeztetése szerint.
A módszer azon alapul, hogy lejárt webdomaineket és e-mail címeket azonosítanak, amelyek hosszú ideje működő Snap Store-fejlesztőkhöz kapcsolódnak, regisztrálják ezeket a domaineket, majd a visszaállított hozzáférést használják a Snapcraft-fiókok eltulajdonítására.
Támadók káros célokra fordítják a legitim csomagokat
Miután bejutottak, a támadók káros frissítéseket töltenek fel korábban ártalmatlan csomagokhoz, ezzel meglepve a felhasználókat az automatikus frissítések és a régóta fennálló bizalmi jelek révén.
A Snap Store, mint más nagy csomagtárak, régóta célpontja a malware-kampányoknak.
A korai próbálkozások viszonylag egyszerűek voltak, ahol csalók hamis kriptovaluta-tárca alkalmazásokat tettek közzé újonnan létrehozott fiókok alatt.
Amikor ezek a próbálkozások könnyebben észrevehetővé váltak, a támadók elkezdték álcázni a káros alkalmazásokat más ábécékből származó hasonló karakterek használatával, hogy kikerüljék a szűrőket.
Pope szerint a taktika ezután csali-csere megközelítéssé fejlődött. A támadók ártalmatlan szoftvereket tettek közzé semleges neveken, mint például „lemon-throw” vagy „alpha-hub”, gyakran egyszerű játékoknak álcázva őket. A jóváhagyási és inaktivitási időszak után egy követő frissítés csendben bevezette a hamis kriptovaluta-tárcát, amely a pénzek ellopására volt tervezve.
A legújabb fejlemény még nagyobb kockázatot jelent. Legalább két megerősített esetben a támadók átvették a korábban legitim Snap-kiadók tulajdonában lévő lejárt domaineket, és ezeket használták pénztárcatolvaj malware terjesztésére automatikus frissítések révén.
A sérült alkalmazások normálisnak tűntek a felszín alatt, de úgy voltak megtervezve, hogy begyűjtsék a pénztárca helyreállítási kifejezéseket, és továbbítsák azokat a támadók által ellenőrzött szervereknek.
Mire a felhasználók észrevették a gyanús viselkedést, a pénzeszközök és érzékeny adatok már kompromittálódtak.
A Canonical azóta eltávolította a káros snappeket, de Pope szerint a válasz mélyebb gyengeségeket mutat a platform bizalmi modelljében.
Azt mondta, hogy a domain-átvételek aláássák a kiadók hosszú távú megbízhatóságát, mint biztonsági jelzést, és további óvintézkedéseket sürgetett, beleértve a domain-lejáratok figyelését, a szigorúbb fiókellenőrzést inaktív kiadóknál, valamint a kötelező kétfaktoros hitelesítést.
A biztonsági kutató Snap Store-eltávolításokra figyelmeztet
Pope azt is megjegyezte, hogy a jelentett káros snappek eltávolítása néha több napot is igénybe vesz.
A felhasználókat arra ösztönözte, hogy különösen óvatosak legyenek a kriptovaluta-tárcák Linuxra történő telepítésekor, és fontolják meg azok közvetlen letöltését a hivatalos weboldalakról az alkalmazásáruházak helyett.
A felhasználók kockázatának értékeléséhez Pope létrehozta a SnapScope nevű webes eszközt, amely a snappeket gyanúsnak vagy károsnak jelöli a telepítés előtt.
Arra is felszólította a fejlesztőket, hogy tartsák aktívnak a domain-regisztrációikat, és biztosítsák a Snapcraft- és e-mail fiókjaikat kétfaktoros hitelesítéssel.
A Chainalysis szerint a jogellenes kriptovaluta-címek rekord 154 milliárd dollárt kaptak 2025-ben, ami jelentős növekedést jelent az előző évhez képest.
Egy másik esetben az amerikai ügyészek egy 23 éves brooklyni férfit, Ronald Spektort vádolták meg azzal, hogy körülbelül 16 millió dollár értékű kriptovalutát lopott el mintegy 100 Coinbase-felhasználótól egy állítólagos phishing- és szociális mérnöki támadás révén.
Ne maradj le!
in numbers
