Cảnh báo về Cửa hàng Snap: Hiểu về cuộc tấn công chiếm đoạt tên miền mà người dùng Linux cần biết

Người dùng Linux đối mặt với một mối đe dọa tinh vi trong Cửa hàng Snap mà các nhà nghiên cứu bảo mật đang kêu gọi cộng đồng cần nhận thức rõ. Theo SlowMist CISO 23pds, một phương thức tấn công mới đã xuất hiện, trong đó hacker lợi dụng các tên miền nhà phát triển hết hạn để xâm phạm các ứng dụng đáng tin cậy. Phương thức này đặc biệt nguy hiểm vì nó vượt qua các kiểm tra bảo mật truyền thống bằng cách tận dụng uy tín của nhà phát hành đã được xây dựng trong nhiều năm qua.

Cách các kẻ tấn công xâm phạm tài khoản nhà phát triển trong Cửa hàng Snap

Cuộc tấn công bắt đầu bằng việc các tác nhân đe dọa theo dõi các tài khoản nhà phát triển có tên miền liên kết đã hết hạn. Khi họ xác định được một tên miền không hoạt động, hacker nhanh chóng đăng ký lại và sau đó sử dụng địa chỉ email của tên miền mới kiểm soát để kích hoạt đặt lại mật khẩu trong Cửa hàng Snap. Kỹ thuật đơn giản nhưng hiệu quả này cho phép họ chiếm quyền các danh tính nhà phát hành đã xây dựng lòng tin lâu dài với người dùng. Kết quả là, các ứng dụng hợp pháp mà người dùng đã cài đặt và tin tưởng trong nhiều năm có thể bị tiêm mã độc qua kênh cập nhật chính thức trong một đêm, mà phần lớn người dùng hoàn toàn không hay biết.

Đã có hai trường hợp bị xâm phạm xác nhận bằng phương pháp này: storewise[.]tech và vagueentertainment[.]com. Điều này chứng tỏ cuộc tấn công không chỉ mang tính lý thuyết mà đang diễn ra thực tế ngoài đời.

Cơ chế đánh cắp thông tin xác thực: Làm thế nào để lấy trộm các cụm từ khôi phục ví của bạn

Khi các hacker kiểm soát được danh tính nhà phát hành đáng tin cậy, họ triển khai một payload kỹ thuật xã hội tinh vi. Các ứng dụng bị xâm phạm giả dạng thành các ví tiền điện tử hợp pháp—thường bắt chước Exodus, Ledger Live hoặc Trust Wallet. Các phiên bản giả này gần như không thể phân biệt với các ứng dụng chính hãng, khiến việc phát hiện bởi người dùng bình thường rất khó khăn.

Khi người dùng mở ứng dụng độc hại, nó trước tiên thiết lập kết nối tới một máy chủ từ xa để thực hiện xác minh mạng, tạo cảm giác bình thường. Sau đó, nó yêu cầu người dùng nhập “cụm từ khôi phục ví” để mục đích khôi phục đã được tuyên bố. Ngay khi người dùng gửi thông tin quan trọng này, nó lập tức được truyền tới máy chủ của kẻ tấn công, cho phép tội phạm truy cập hoàn toàn vào tài sản tiền điện tử của họ.

Điều làm cho cuộc tấn công này đặc biệt hiệu quả là nó khai thác các mối quan hệ tin cậy đã tồn tại. Người dùng đã tự nguyện tải xuống và cài đặt ứng dụng trước đó, vì vậy họ tự nhiên mong đợi nó là hợp pháp. Đến khi nạn nhân nhận ra rằng tài sản của họ đã bị đánh cắp, các hacker đã chuyển đi các khoản tiền rồi.

Tại sao bạn nên cảnh giác với các mối đe dọa mới nổi này

Mô hình tấn công này thể hiện một lỗ hổng cơ bản trong cách các kênh phân phối phần mềm quản lý vòng đời tên miền. Sự phụ thuộc của Cửa hàng Snap vào xác minh danh tính dựa trên email tạo ra một điểm yếu nghiêm trọng khi các nhà phát triển không gia hạn tên miền liên kết. Các nhà nghiên cứu bảo mật nhấn mạnh rằng người dùng cần hiểu rõ về phương thức tấn công này, vì nhận thức là tuyến phòng thủ đầu tiên của bạn.

Sự tinh vi không nằm ở kỹ thuật hack mà ở việc khai thác hạ tầng tin cậy chính nó. Ngay cả những người dùng có ý thức về bảo mật cũng có thể trở thành nạn nhân vì cuộc tấn công xuất hiện qua các kênh chính thức với danh tính nhà phát hành đáng tin cậy còn nguyên vẹn.

Như 23pds đã lưu ý, khía cạnh đáng lo ngại nhất là tốc độ và quy mô mà phần mềm hợp pháp có thể trở thành vũ khí. Ứng dụng đáng tin ngày hôm qua có thể trở thành công cụ đánh cắp chứng chỉ ngày hôm nay chỉ qua một bản cập nhật duy nhất.