Предупреждение Snap Store: понимание атаки захвата домена, о которой должны знать пользователи Linux

Пользователи Linux сталкиваются с изощрённой угрозой в Snap Store, о которой предупреждают специалисты по безопасности. Согласно данным CISO SlowMist 23pds, появился новый вектор атаки, при котором злоумышленники используют истёкшие домены разработчиков для компрометации доверенных приложений. Этот метод особенно опасен, поскольку он обходит традиционные проверки безопасности, используя авторитет издателя, которому пользователи доверяли годами.

Как злоумышленники компрометируют аккаунты разработчиков в Snap Store

Атака начинается с того, что злоумышленники следят за аккаунтами разработчиков, чьи связанные домены истекли. Как только они обнаруживают неактивный домен, они быстро регистрируют его и используют адрес электронной почты нового контролируемого домена для инициирования сброса пароля в Snap Store. Этот простой, но эффективный метод позволяет им захватывать идентичности издателей, которые заслужили долгосрочное доверие пользователей. Итог — легитимные приложения, которые пользователи устанавливали и доверяли годами, могут быть заражены вредоносным кодом за одну ночь через официальный канал обновлений, при этом большинство пользователей остаются полностью неосведомлёнными.

Уже подтверждены два случая компрометации с помощью этого метода: storewise[.]tech и vagueentertainment[.]com. Это доказывает, что атака не является теоретической, а активно происходит в реальности.

Механизм кражи учетных данных: как похищают ваши фразы восстановления кошелька

Как только злоумышленники получают контроль над доверенным аккаунтом издателя, они используют сложную социальную инженерию. Скомпрометированные приложения маскируются под легитимные криптовалютные кошельки — обычно имитируя Exodus, Ledger Live или Trust Wallet. Поддельные версии практически неотличимы от настоящих приложений, что делает их обнаружение для обычных пользователей чрезвычайно сложным.

Когда пользователь запускает вредоносное приложение, оно сначала устанавливает соединение с удалённым сервером для выполнения проверки сети, создавая иллюзию нормальной работы. Затем оно запрашивает у пользователя ввод “фразы восстановления кошелька” для предполагаемого восстановления. Как только пользователь отправляет эту важную информацию, она мгновенно передаётся на сервер злоумышленников, предоставляя преступникам полный доступ к их криптовалютным активам.

Что делает эту атаку особенно эффективной, так это использование существующих доверительных отношений. Пользователи добровольно скачивали и устанавливали приложение ранее, поэтому естественно ожидают его легитимность. К тому времени, когда жертвы понимают, что их средства украдены, злоумышленники уже переместили активы.

Почему важно оставаться бдительным к этим новым угрозам

Этот сценарий атаки представляет собой фундаментальную уязвимость в управлении жизненным циклом доменов в системах распространения программного обеспечения. Зависимость Snap Store от проверки личности по электронной почте создаёт критическую слабую точку, когда разработчики не продлевают свои связанные домены. Специалисты по безопасности подчеркивают, что пользователи должны понимать этот вектор угрозы, поскольку осведомлённость — ваша первая линия защиты.

Сложность заключается не в техническом взломе, а в использовании самой инфраструктуры доверия. Даже пользователи, осознающие риски, могут стать жертвами, потому что атака выглядит как официальное сообщение с доверенным идентификатором издателя.

Как отмечает 23pds, наиболее тревожный аспект — это скорость и масштаб, с которыми легитимное программное обеспечение может быть превращено в инструмент кражи учетных данных. То, что вчера было доверенным приложением, сегодня превращается в средство кражи данных через одно обновление.