Snap 商店提醒：了解 Linux 用户应了解的域名劫持攻击

Linux 用户在 Snap 商店面临一种复杂的威胁，安全研究人员呼吁社区提高警惕。根据 SlowMist CISO 23pds 的说法，出现了一种新的攻击向量，黑客利用过期的开发者域名来破坏受信任的应用程序。这种方法尤其危险，因为它绕过了传统的安全检查，利用用户多年来依赖的发布者信誉。

攻击者如何在 Snap 商店中破坏开发者账户

攻击始于威胁行为者监控其关联域名已过期的开发者账户。一旦识别出一个不活跃的域名，攻击者迅速注册该域名，然后使用新控制的域名的电子邮件地址在 Snap 商店中触发密码重置。这种简单但有效的技术使他们能够接管与用户建立了长期信任的发布者身份。结果令人震惊：用户多年来安装并信任的合法应用程序，可能在一夜之间通过官方更新渠道被注入恶意代码，而大多数用户完全未察觉。

已有两个通过此方法被攻破的案例：storewise[.]tech 和 vagueentertainment[.]com。这证明这种攻击不是理论上的，而是在实际环境中活跃发生。

凭证窃取机制：你的钱包恢复短语是如何被盗的

一旦攻击者控制了受信任的发布者身份，他们会部署复杂的社会工程学载荷。被攻破的应用伪装成合法的加密货币钱包——通常模仿 Exodus、Ledger Live 或 Trust Wallet。这些假版本几乎与真实应用无异，使普通用户难以识别。

当用户启动恶意应用时，它首先连接到远程服务器进行网络验证，营造出正常的感觉。然后它会提示用户输入“钱包恢复助记词”，声称用于恢复目的。用户提交此关键信息的瞬间，信息就会立即传输到攻击者的服务器，使犯罪分子可以完全访问他们的加密资产。

此攻击特别有效的原因在于它利用了现有的信任关系。用户之前已经自愿下载并安装了该应用，因此自然相信它是合法的。当受害者意识到资金已被盗时，攻击者已经转移了资产。

为什么你应该保持警惕这些新兴威胁

这种攻击模式暴露了软件分发渠道在域名生命周期管理方面的根本漏洞。Snap 商店依赖电子邮件的身份验证机制，在开发者未能续订其关联域名时，形成了一个关键的薄弱环节。安全研究人员强调，用户需要了解这种威胁向量，因为意识是你的第一道防线。

其复杂性不在于技术黑客，而在于利用信任基础设施本身。即使是注重安全的用户也可能成为受害者，因为攻击看似通过官方渠道进行，且具有受信任的发布者身份。

正如 23pds 所指出的，最令人不安的是，合法软件可以在极短的时间内被武器化。昨天还被信任的应用程序，通过一次更新，变成了今日的凭证窃取工具。