В магазине приложений Snap Store выявлена новая мошенническая схема, в рамках которой злоумышленники используют просроченные домены издателей для злоупотребления доверием пользователей и распространения вредоносных обновлений.
Snap Store представляет собой централизованный репозиторий для дистрибуции snap-пакетов под управлением компании Canonical. Платформа позволяет разработчикам публиковать приложения с низким порогом входа, обеспечивая пользователям установку и автоматическое обновление софта через единый надежный канал. Однако сейчас эта модель безопасности испытывает серьезную нагрузку.
Алан Поуп, давний участник сообщества Ubuntu и бывший сотрудник Canonical, который продолжает поддерживать около 50 пакетов с тысячами пользователей, в своем блоге предупредил о тревожной тенденции, затрагивающей экосистему Snap.
Смена тактики злоумышленников
Более года Поуп и другие специалисты по информационной безопасности фиксируют постоянную кампанию по внедрению вредоносных снапов, маскирующихся под криптовалютные кошельки. Поддельные программы копируют интерфейсы известных проектов, таких как Exodus, Ledger Live или Trust Wallet, требуя от пользователя ввести фразу для восстановления доступа. Полученные данные передаются организаторам атаки, что приводит к хищению средств.
Ранние итерации этой кампании опирались на регистрацию новых учетных записей издателей и создание визуально убедительных страниц в магазине. Однако последний сдвиг в методах работы преступников означает значительную эскалацию угрозы.
Вместо создания новых аккаунтов атакующие перешли к мониторингу Snap Store на предмет издателей, у которых истек срок регистрации доменных имен. Как только домен освобождается, злоумышленники регистрируют его на себя. Затем они инициируют сброс пароля для учетной записи Snap Store, привязанной к этому домену, и перехватывают контроль над профилем существующего издателя. Получив доступ, они загружают вредоносные обновления для пакетов, которые пользователи могли установить много лет назад и считали безопасными.
Алан Поуп идентифицировал как минимум два домена издателей - storewise.tech и vagueentertainment.com, которые были захвачены с использованием этого метода. В обоих случаях в ранее безвредные приложения был внедрен код для кражи данных кошельков без видимых изменений в репутации издателя.
Техническая реализация и рекомендации
Анализ скомпрометированных пакетов выявил повторяющийся шаблон. Приложения разворачивают веб-интерфейс, который детально имитирует легальное программное обеспечение. При запуске программа пытается связаться с удаленным сервером для проверки сетевого соединения.
Если пользователь вводит фразу восстановления, она немедленно отправляется на серверы атакующих. К моменту обнаружения подлога содержимое кошелька, как правило, уже выведено.
Компания Canonical удаляет выявленные вредоносные пакеты, но Поуп отмечает, что меры реагирования часто отстают от момента обнаружения угрозы. Из-за этой задержки опасные обновления остаются доступными достаточно долго, чтобы нанести ущерб пользователям.
Издателям Snap рекомендовано следить за актуальностью регистрации своих доменов и в обязательном порядке использовать двухфакторную аутентификацию. Пользователям же настоятельно советуют избегать установки приложений криптовалютных кошельков из магазинов приложений и загружать их исключительно с официальных сайтов проектов.
Linux: обзоры и обновления
• Релиз Deepin 25.0.10: драйвер NVIDIA 580.119.02, исправления DDE и патчи безопасности CVE
• Злоумышленники внедряют вредоносный код в приложения Snap Store через просроченные домены
• Mozilla запустила официальный репозиторий RPM для установки Firefox Nightly на Fedora, openSUSE и RHEL
• KDE Plasma может получить полноценную VR-среду рабочего стола
• Современные интерфейсы Linux перегружены деталями: почему возврат к MATE становится актуальным решением
• MX Linux 25.1 Infinity вышел: возвращение dual-init и обновления Debian 13.3