SlowMist позначає цільову атаку на Snap Store, спрямовану на криптографічні фрази

• Зловмисники захопили видавців у Snap Store, використовуючи прострочені домени, та розповсюджували шкідливі оновлення для гаманця.
• Фальшиві додатки імітували Exodus, Ledger Live і Trust Wallet, щоб обдурити користувачів і змусити їх ввести свої фрази відновлення.
• Атака свідчить про зростаючу тенденцію до атак на ланцюг постачання замість атак на смарт-контракти.

Компанія з безпеки блокчейну SlowMist повідомила про нову загрозу на базі Linux, яка націлена на фрази відновлення криптовалют шляхом експлуатації довірених додатків, розповсюджених через Snap Store. У компанії попередили, що зловмисники захоплюють довготривалі облікові записи видавців у Snap Store і поширюють шкідливі оновлення гаманців через офіційні канали розповсюдження, ставлячи під загрозу довготривалих користувачів Linux.

У повідомленні на X головний офіцер з інформаційної безпеки SlowMist 23pds зазначив, що зловмисники зловживають простроченими доменами, пов’язаними з легітимними видавцями у Snap Store. Після відновлення контролю над цими доменами, зловмисники скидають облікові дані, захоплюють довірені облікові записи розробників і публікують шкідливе програмне забезпечення, маскуючи його під оновлення гаманців. Ця тактика дає їм серйозну перевагу: користувачі часто довіряють оновленням від відомих видавців і встановлюють їх без підозри.

Після потрапляння шкідливих додатків на систему жертви, вони спонукають користувачів ввести фрази відновлення криптогаманця. Шкідливе програмне забезпечення потім викрадає ці фрази, дозволяючи зловмисникам швидко знімати кошти з гаманців, часто ще до того, як жертва зрозуміє, що щось пішло не так.

Зловмисники захоплюють видавців у Snap Store, використовуючи прострочені домени

Snap Store — офіційний магазин додатків для Linux, який використовується для розповсюдження програмного забезпечення, упакованого як “snaps”. Він вважається надійним джерелом для багатьох користувачів, так само як App Store або Microsoft Store, оскільки забезпечує перевірених видавців, легкі оновлення та централізоване розповсюдження.

SlowMist повідомила, що зловмисники націлюються на облікові записи видавців, пов’язані з доменами, що прострочилися. Після закінчення терміну дії домену, злочинці можуть повторно зареєструвати його та отримати доступ до електронних адрес, пов’язаних із цим доменом. Звідти вони можуть ініціювати скидання паролів і захоплювати контроль над обліковими записами розробників у Snap Store.

Цей метод дозволяє зловмисникам компрометувати видавців із активними користувачами та існуючою історією завантажень. Замість того, щоб залежати від жертв, які завантажують шкідливі нові додатки, вони вставляють шкідливе програмне забезпечення у звичайні оновлення. Така тактика ланцюга постачання підвищує ймовірність успіху, оскільки користувачі частіше приймають оновлення і не перевіряють усі зміни.

SlowMist виявила щонайменше два домени, пов’язані з компрометованими обліковими записами видавців: “storewise[.]tech” і “vagueentertainment[.]com”. Після захоплення облікових записів, зловмисники нібито використовували додатки для імітації популярних брендів криптовалютних гаманців.

Фальшиві гаманці імітують довірені бренди

За даними SlowMist, уражені додатки Snap Store є копіями популярних додатків для гаманців, таких як Exodus, Ledger Live і Trust Wallet. Зловмисники використовують інтерфейси користувача, що дуже нагадують легітимні додатки, що підвищує довіру та зменшує підозри.

Ці додатки, після встановлення або оновлення, запитують у користувача ввести фразу відновлення гаманця з метою налаштування гаманця, синхронізації або перевірки облікового запису. Після того, як користувач надає фразу відновлення, зловмисник може використати її для відновлення гаманця і швидко зняти кошти, не отримуючи додаткового доступу до пристрою жертви.

Цей підхід залишається дуже ефективним, оскільки фрази відновлення дають повний контроль над активами. Навіть найміцніші паролі та безпека пристрою не захистять кошти, якщо зловмисники мають цю фразу.

Атаки на ланцюг постачання стають все більш руйнівними

Інцидент у Snap Store є частиною більшої тенденції у криптобезпеці, коли зловмисники переходять від експлуатації протоколів до компрометації інфраструктури. Замість атак на смарт-контракти безпосередньо, злочинці все частіше націлюються на довірені системи розповсюдження програмного забезпечення, канали оновлень і сторонніх постачальників послуг.

Дані CertiK, оприлюднені у грудні, показали, що збитки від криптохаків у 2025 році сягнули 3,3 мільярда доларів, хоча кількість інцидентів зменшилася. За даними CertiK, збитки були зосереджені у меншій кількості, але більш серйозних випадках у ланцюгу постачання, з 1,45 мільярда доларів збитків, що припадає лише на два великі інциденти.

Ця тенденція свідчить про те, що зловмисники оптимізують масштаб і вплив. З покращенням безпеки DeFi на рівні смарт-контрактів, зловмисники цілеспрямовано атакують найслабкіші ланки — додатки, видавців і інфраструктуру оновлень, де довіра є найбільшою вразливістю.

Що мають стежити користувачі далі?

Користувачам Linux, які зберігають криптовалюти, процес завантаження та оновлення програмного забезпечення гаманця слід виконувати з особливою обережністю. Вони повинні перевіряти особистість видавців, перевіряти офіційні джерела завантаження і уникати введення фраз відновлення на незнайомих платформах. Команди безпеки також можуть бути змушені більш ретельно стежити за списками у Snap Store, особливо при раптових змінах у власниках видавців.

Висновок із попередження SlowMist ясний: найбільша небезпека зараз часто походить із довірених джерел, а не з очевидних фішингових схем.

Виділені новини криптовалют:

Том Лі попереджає, що ринки криптовалют можуть зазнати болючого корекційного спаду у 2026 році