Компания SlowMist, специализирующаяся на безопасности блокчейна, предупредила о новом векторе атаки, нацеленном на пользователей Linux. Злоумышленники используют официальный магазин приложений Snap Store, чтобы распространять поддельные версии популярных криптокошельков — включая Exodus, Ledger Live и Trust Wallet — и красть приватные ключи напрямую с устройств жертв.
🔐 Факт: Атака возможна благодаря компрометации аккаунтов разработчиков в Snap Store через истёкшие домены, связанные с их публикационными профилями.
Злоумышленники отслеживают аккаунты издателей в Snap Store, чьи связанные домены больше не продлеваются. После истечения срока регистрации они выкупают эти домены и восстанавливают доступ к аккаунтам через механизмы сброса пароля, привязанные к email-адресам на этих доменах.
Получив контроль над легитимным профилем с историей загрузок и доверия пользователей, хакеры выпускают «обновления» — на самом деле вредоносные сборки, имитирующие интерфейсы известных кошельков. При запуске такие приложения просят пользователя ввести seed-фразу, якобы для восстановления кошелька, и сразу же отправляют её на сервер злоумышленников.
«Доверие — самая уязвимая часть любой системы безопасности», — Брюс Шнайер, эксперт по кибербезопасности.
SlowMist подтвердил, что как минимум два издательских аккаунта были скомпрометированы этим методом:
Оба домена ранее использовались для публикации приложений в Snap Store. После захвата они стали распространять модифицированные версии кошельков, внешне неотличимые от оригиналов.
Snap Store — официальный централизованный каталог приложений для дистрибутивов Linux, таких как Ubuntu. Пользователи привыкли считать его безопасной альтернативой сторонним установочным файлам. Однако, как показывает эта атака, даже «доверенные» каналы распространения могут быть скомпрометированы через слабые места в управлении аккаунтами.
Это классический пример supply-chain атаки — когда вместо взлома конечного устройства или смарт-контракта атакуется инфраструктура доставки программного обеспечения.
По данным CertiK, в 2025 году общие потери от хакерских атак в криптосфере составили $3,3 млрд, несмотря на снижение числа инцидентов. При этом две крупнейшие атаки на цепочки поставок принесли злоумышленникам $1,45 млрд.
Тренд очевиден: по мере укрепления безопасности смарт-контрактов хакеры всё чаще выбирают «мягкие» цели — доверенные платформы, обновления ПО и человеческий фактор.
SlowMist рекомендует пользователям Linux:
Этот инцидент подчёркивает необходимость перехода от слепого доверия к «официальным» каналам к модели непрерывной верификации. Даже если приложение установлено из Snap Store, App Store или Google Play, оно не должно иметь доступа к самым чувствительным данным — seed-фразам.
Разработчикам, в свою очередь, необходимо использовать многофакторную аутентификацию и резервные контакты, не зависящие от одного домена, чтобы защитить свои аккаунты в магазинах приложений.
