Оновлення Snap Store: розуміння атаки перехоплення домену, яку повинні знати користувачі Linux

Користувачі Linux стикаються з вишуканою загрозою у Snap Store, про яку закликають повідомляти співтовариство дослідники з безпеки. За словами CISO SlowMist 23pds, з’явився новий вектор атаки, коли хакери використовують прострочені домени розробників для компрометації довірених додатків. Цей метод особливо небезпечний, оскільки обходить традиційні перевірки безпеки, використовуючи встановлену довіру до видавця, на яку користувачі покладалися роками.

Як зловмисники компрометують облікові записи розробників у Snap Store

Атака починається з того, що зловмисники моніторять облікові записи розробників, чиї домени вже прострочені. Як тільки вони виявляють неактивний домен, вони швидко реєструють його і використовують електронну пошту нового контролюваного домену для ініціювання скидання пароля у Snap Store. Ця проста, але ефективна техніка дозволяє їм захоплювати особистості видавців, які довгий час будували довіру користувачів. Наслідки вражають: легітимні додатки, які користувачі встановлювали і довіряли роками, можуть бути інжектовані зловмисним кодом за одну ніч через офіційний канал оновлень, при цьому більшість користувачів залишаються зовсім неусвідомлюючи цього.

Вже підтверджено два випадки компрометації за цим методом: storewise[.]tech і vagueentertainment[.]com. Це доводить, що атака не є теоретичною, а активно відбувається у реальному світі.

Механізм крадіжки облікових даних: як викрадають фрази відновлення гаманця

Як тільки зловмисники отримують контроль над довіреним обліковим записом видавця, вони запускають складний сценарій соціальної інженерії. Компрометовані додатки маскуються під легітимні криптовалютні гаманці — зазвичай імітуючи Exodus, Ledger Live або Trust Wallet. Підробки майже не відрізняються від справжніх додатків, що ускладнює їх виявлення звичайними користувачами.

Коли користувачі запускають зловмисний додаток, він спершу встановлює з’єднання з віддаленим сервером для перевірки мережі, створюючи ілюзію нормальної роботи. Потім він запитує у користувачів ввести їхню “фразу відновлення гаманця” для нібито відновлення доступу. Як тільки користувачі надають цю важливу інформацію, вона миттєво передається на сервер зловмисників, що дає злочинцям повний доступ до їхніх криптовалютних активів.

Що робить цю атаку особливо ефективною, так це те, що вона використовує існуючі довірчі відносини. Користувачі добровільно завантажували і встановлювали цей додаток раніше, тому природно очікують, що він є легітимним. До того, як жертви зрозуміють, що їхні кошти викрадені, зловмисники вже перемістили активи.

Чому ви повинні залишатися насторожі щодо цих нових загроз

Цей шаблон атаки являє собою фундаментальну вразливість у тому, як канали розповсюдження програмного забезпечення керують життєвим циклом доменів. Залежність Snap Store від ідентифікації через електронну пошту створює критичну слабкість, коли розробники не оновлюють свої домени. Дослідники з безпеки наголошують, що користувачам потрібно розуміти цей вектор загрози, оскільки обізнаність — це ваша перша лінія захисту.

Складність полягає не у технічному хакінгу, а у використанні інфраструктури довіри. Навіть обережні користувачі можуть стати жертвами, оскільки атака здається йде через офіційні канали з цілісністю довіреного видавця.

Як зазначає 23pds, найбільш тривожним є швидкість і масштаб, з якими легітимне програмне забезпечення може бути озброєне. Те, що вчора було довіреним додатком, сьогодні стає інструментом викрадення облікових даних через одне оновлення.