Критическая уязвимость в официальном магазине приложений Snap Store для Linux позволила злоумышленникам похищать средства пользователей криптовалютных кошельков. Как сообщил глава информационной безопасности компании SlowMist под псевдонимом 23pds, атака основана на перехвате аккаунтов разработчиков через просроченные доменные имена.
Механизм атаки заключается в мониторинге доменов, связанных с учётными записями издателей в Snap Store. После истечения срока регистрации домена злоумышленники перерегистрируют его, получают доступ к привязанным email-адресам и сбрасывают пароли от аккаунтов разработчиков. Это позволяет им выкладывать вредоносные обновления для легитимных приложений, которые годами считались доверенными.
Подкомпрометированными оказались как минимум два домена — storewise.tech и vagueentertainment.com. Через них распространялись модифицированные версии популярных криптокошельков — Exodus, Ledger Live и Trust Wallet. Внешне приложения неотличимы от оригиналов, но после запуска запрашивают у пользователя мнемоническую фразу для восстановления кошелька и немедленно передают её на серверы атакующих.
По данным бывшего разработчика Canonical Алана Поупа, группа хакеров, предположительно базирующаяся в Хорватии, ведёт подобные кампании около двух лет. Атака особенно опасна, поскольку эксплуатирует доверие к официальным каналам обновлений — пользователи, устанавливающие апдейты, не подозревают о подмене.
Контекст угрозы: атака на Snap Store является часть растущей тенденции supply-chain атак в криптоиндустрии. По данным CertiK, только в 2025 году два подобных инцидента привели к потерям на $1,45 млрд. Проблема «мёртвых доменов» затрагивает и другие платформы — GitHub, PyPI и npm, где исследователи в 2022 году обнаружили более 2800 аккаунтов с просроченными доменами email.
Эксперты призывают Canonical ужесточить политику безопасности — внедрить мониторинг истекающих доменов, обязательную двухфакторную аутентификацию и дополнительную верификацию для неактивных аккаунтов.
