SlowMist викриває атаку на Linux Snap Store, спрямовану на фрази відновлення криптогаманців

Ключові висновки:

• Новий вектор загрози в Linux Snap Store використовує довірені додатки для викрадення фраз відновлення криптогаманців.
• Зловмисники використовують домени, термін дії яких закінчився, для захоплення облікових записів видавців, що дозволяє розповсюджувати шкідливі оновлення гаманців.
• Загроза зосереджена на викраденні облікових даних користувачів шляхом видавання себе за популярні криптогаманці, такі як Exodus, Ledger Live та Trust Wallet.
• Цей випадок підкреслює зростаючу тенденцію до націлювання на криптоінфраструктуру та дистрибуцію, а не на коди смарт контрактів.
• Наслідки цих атак є глибокими, як свідчить значна концентрація збитків від атак на ланцюги постачання.

WEEX Crypto News, 2026-01-22 07:42:53

Вступ до атаки на Linux Snap Store

У безпрецедентному викритті охоронна фірма SlowMist розкрила складну стратегію атаки, спрямовану на користувачів Linux Snap Store. Ця схема є особливо небезпечною, оскільки вона використовує довіру до популярних додатків для доставки шкідливих оновлень, призначених для викрадення фраз відновлення криптогаманців. Фрази відновлення є ключовими для доступу до криптогаманців; тому їх захист є першорядним.

Атака на базі Linux була ідентифікована як така, що використовує додатки, розповсюджувані через Snap Store, який функціонує як еквівалент Apple App Store або Microsoft Store, але призначений для користувачів Linux. Такий підхід дозволяє виконувати шкідливі дії під виглядом легітимних програмних додатків, що робить виявлення особливо складним.

Механізм атаки

Вектор, який використовують зловмисники, передбачає захоплення довірених видавців Snap Store через вразливість доменів, термін дії яких закінчився. Цей процес починається з моніторингу доменів, пов'язаних з обліковими записами розробників у Snap Store. Як тільки ці домени закінчуються, зловмисники реєструють їх повторно. Ця маніпуляція дозволяє кіберзлочинцям скинути облікові дані облікового запису, пов'язані з цими доменами, що полегшує несанкціонований доступ до існуючих облікових записів видавців.

Маючи контроль над цими довіреними обліковими записами та їх встановленою історією завантажень, зловмисники можуть безперешкодно розповсюджувати шкідливі оновлення програмного забезпечення для нічого не підозрюючої бази користувачів. Варто зазначити, що додатки, змінені в рамках цієї схеми, розроблені для того, щоб видавати себе за довірені криптогаманці, такі як Exodus, Ledger Live та Trust Wallet.

Після встановлення скомпрометованого оновлення користувачам пропонується ввести фрази відновлення гаманця. Ця підказка надати критичні облікові дані надає необхідну інформацію для зловмисників, щоб отримати доступ до крипторахунків і спустошити їх, часто без відома користувача про порушення, поки не стане занадто пізно.

Масштаб і вплив загрози

Що робить цю загрозу особливо шкідливою, так це її здатність діяти непомітно. Використовуючи інтерфейси, що виглядають легітимно, щоб замаскувати шкідливі наміри, зловмисники ефективно вигадали метод, який використовує довіру користувачів до встановлених додатків.

SlowMist ідентифікувала два конкретні домени — “storewise[.]tech” та “vagueentertainment[.]com” — як такі, що були скомпрометовані за допомогою цього методу. Цей інцидент підкреслює ширшу зміну парадигми в тому, як зловмисники націлюються на інфраструктури, пов'язані з криптовалютою.

У середовищі кіберзагроз, що розвивається, безпека на рівні протоколів значно покращилася. Як наслідок, зловмисники перемикають свою увагу на саму інфраструктуру дистрибуції — підхід, що відображає зростаючу тенденцію в кібербезпеці, яку зазвичай називають атаками на ланцюги постачання.

Зростання атак на ланцюги постачання

Атаки на ланцюги постачання проникають у процес доставки програмного забезпечення, подібно до того, як вірус використовує шляхи в організм. Тут зловмисники атакують мережі дистрибуції, а не сам цифровий контент, що робить традиційні заходи безпеки менш ефективними.

Дані CertiK, оприлюднені в грудні, підкреслюють цю тривожну зміну: хоча кількість окремих інцидентів хакерства зменшилася, загальні збитки від хакерства досягли приголомшливих 3,3 мільярда доларів до 2025 року. Ці збитки переважно були пов'язані з атаками на ланцюги постачання, що склали 1,45 мільярда доларів лише від двох великих інцидентів.

Ця тенденція вказує на помітну еволюцію методів експлуатації криптовалют, де порушення здійснюються на основі відносин довіри, оновлень програмного забезпечення та інфраструктури третіх сторін. Цей метод ілюструється вектором атаки Snap Store, який демонструє, що навіть незначні промахи в управлінні доменами можуть призвести до серйозних порушень безпеки.

Захист від криптоексплойтів

Для криптокористувачів та криптобірж забезпечення інфраструктури від цих складних загроз є першорядним. Оскільки зловмисники націлюються на слабкі місця в ланцюзі постачання, посилення заходів безпеки в цих сферах є критично важливим.

Одним із важливих кроків є забезпечення суворих протоколів управління доменами для запобігання закінченню терміну дії доменів, тим самим усуваючи ключову вразливість, що використовується в цих атаках. Користувачі повинні залишатися пильними щодо будь-яких незвичних підказок або запитів від своїх криптододатків, особливо тих, що вимагають конфіденційні фрази відновлення або іншу критичну інформацію.

Поточні дискусії та розробки

Ці викриття викликали значні розмови на різних платформах, особливо в Twitter, про необхідність посилення заходів безпеки в криптоінфраструктурі. Користувачі в усьому світі висловлюють занепокоєння щодо еволюції природи кіберзагроз, які використовують механізми довіри, і того, як криптобіржі можуть захиститися від них.

Зі зростанням складності кібератак також поширені дискусії про потенційну інтеграцію властивих функцій безпеки блокчейну в ширші стратегії кібербезпеки — злиття, яке потенційно може пом'якшити майбутні загрози.

Висновок і прогноз

Викриття цього вектора атаки є важливим нагадуванням про те, що в міру розвитку технологій повинні розвиватися і наші підходи до кібербезпеки. Довіра, яку користувачі покладають на додатки та програмне забезпечення, на жаль, може бути використана як зброя, що вимагає динамічної та оперативної стратегії захисту.

Для криптобірж та постачальників гаманців розвиток культури безпеки та проактивне пом'якшення загроз є важливими. У той же час розробки та ідеї від охоронних фірм, таких як SlowMist, потребують термінової інтеграції в повсякденну практику кібербезпеки для запобігання та пом'якшення таких порушень.

На закінчення, ця атака представляє значний прогрес в арсеналі кіберзлочинців і служить тривожним сигналом для всієї криптоекосистеми, щоб адаптуватися та зміцнити свій захист не лише проти атак сьогоднішнього дня, а й тих, що неминуче прийдуть у майбутньому.

Часті запитання

Що таке атака на Linux Snap Store?

Атака націлена на користувачів Linux Snap Store шляхом захоплення легітимних додатків для розповсюдження шкідливих оновлень, які викрадають фрази відновлення криптогаманців.

Як зловмисники використовують домени, термін дії яких закінчився, у цьому сценарії?

Зловмисники повторно реєструють домени, термін дії яких закінчився, пов'язані з обліковими записами видавців Snap Store, щоб скинути облікові дані та отримати несанкціонований доступ, що дозволяє їм просувати шкідливі оновлення.

Які криптогаманці видавали себе за інші в повідомлених атаках?

Атака видавала себе за відомі криптогаманці, такі як Exodus, Ledger Live та Trust Wallet, щоб обманом змусити користувачів ввести свої фрази відновлення.

Що означає зростання атак на ланцюги постачання для криптобезпеки?

Це вказує на зміщення акценту на націлювання на інфраструктуру та канали дистрибуції замість прямого злому коду, що вимагає передових стратегій захисту для пом'якшення цих складних загроз.

Як користувачі можуть захистити свої крипторахунки від таких атак?

Користувачі повинні зберігати пильність щодо незвичних підказок у своїх криптододатках і переконуватися, що оновлення додатків надходять від перевірених і довірених видавців. Вони також повинні безпечно керувати обліковими даними доменів, щоб уникнути експлуатації несанкціонованого доступу.