SlowMist отмечает цель атаки на Snap Store, направленной на криптографические фразы seed

• Атакующие захватили аккаунты издателей в Snap Store, используя истёкшие домены, и распространяли вредоносные обновления для кошелька.
• Поддельные приложения имитировали Exodus, Ledger Live и Trust Wallet, чтобы обмануть пользователей и заставить их ввести свои фразы восстановления.
• Атака свидетельствует о растущей тенденции к цепочечным атакам вместо атак на смарт-контракты.

Компания по безопасности блокчейна SlowMist обнаружила новую угрозу на базе Linux, которая нацелена на криптофразы восстановления, эксплуатируя доверенные приложения, распространяемые через Snap Store. Компания предупредила, что злоумышленники захватывают давно существующие аккаунты издателей в Snap Store и распространяют вредоносные обновления кошельков через официальные каналы распространения, подвергая риску долгосрочных пользователей Linux.

В посте на X главный специалист по информационной безопасности SlowMist 23pds заявил, что злоумышленники злоупотребляют истёкшими доменами, связанными с легитимными издателями Snap Store. После восстановления контроля над этими доменами, злоумышленники сбрасывают учетные данные, захватывают доверенные аккаунты разработчиков и публикуют вредоносное ПО, маскирующееся под обновления программного обеспечения кошелька. Эта тактика дает атаке опасное преимущество: пользователи часто доверяют обновлениям от проверенных издателей и устанавливают их без подозрений.

После попадания вредоносных приложений на систему жертвы, они требуют ввести фразы восстановления криптокошелька. Вредоносное ПО затем выводит эти фразы, позволяя злоумышленникам быстро опустошать кошельки, зачастую до того, как жертва заметит что-то неладное.

Злоумышленники захватывают издателей в Snap Store, используя истёкшие домены

Snap Store — это официальный магазин приложений для Linux, используемый для распространения программного обеспечения, упакованного как «snaps». Он считается надежным источником многими пользователями, так же как App Store или Microsoft Store, поскольку предоставляет проверенных издателей, простое обновление и централизованное распространение.

SlowMist сообщил, что злоумышленники нацелены на аккаунты издателей, связанные с доменами, которые истекли. После истечения срока действия домена, преступники могут повторно зарегистрировать его и получить доступ к связанным с доменом адресам электронной почты. Оттуда они могут инициировать сброс паролей и захватывать контроль над аккаунтами разработчиков в Snap Store.

Этот метод позволяет злоумышленникам компрометировать издателей с активными пользователями и существующей историей загрузок. Вместо того чтобы полагаться на жертв для загрузки вредоносных новых приложений, они внедряют вредоносное ПО в обычные обновления. Эта цепочечная тактика увеличивает вероятность успеха, поскольку пользователи чаще всего доверяют обновлениям и не проверяют все изменения.

SlowMist выявила как минимум два домена, связанные с скомпрометированными аккаунтами издателей: “storewise[.]tech” и “vagueentertainment[.]com”. После захвата аккаунтов злоумышленники якобы использовали приложения для имитации популярных брендов криптокошельков.

Поддельные кошельковые приложения имитируют доверенные бренды

По данным SlowMist, затронутые приложения в Snap Store — это клонированные версии популярных приложений кошельков, таких как Exodus, Ledger Live и Trust Wallet. Злоумышленники используют интерфейсы, которые очень похожи на легитимные приложения, что повышает доверие и снижает подозрения.

После установки или обновления эти приложения запрашивают у пользователя ввод фразы восстановления кошелька с целью его настройки, синхронизации или проверки аккаунта. После того как пользователь предоставит фразу восстановления, злоумышленник может использовать её для восстановления кошелька и быстрого вывода средств, не получая дальнейшего доступа к устройству жертвы.

Этот метод остается очень эффективным, поскольку seed-фразы дают полный контроль над активами. Даже самые надежные пароли и безопасность устройства не могут защитить средства, если злоумышленники завладели фразой восстановления.

Цепочечные взломы становятся все более разрушительными

Инцидент в Snap Store — часть более широкой тенденции в крипто-безопасности, когда злоумышленники переходят от эксплуатации протоколов к компрометации инфраструктуры. Вместо атак на смарт-контракты напрямую, преступники все чаще нацеливаются на доверенные системы распространения программного обеспечения, каналы обновлений и сторонних поставщиков услуг.

Данные CertiK, опубликованные в декабре, показали, что убытки от крипто-взломов достигли 3,3 миллиарда долларов в 2025 году, несмотря на снижение количества инцидентов. По данным CertiK, убытки были сосредоточены в меньшем числе, но более серьезных цепочечных событиях, из которых только два крупных инцидента привели к потерям в 1,45 миллиарда долларов.

Эта тенденция свидетельствует о том, что злоумышленники оптимизируют масштаб и воздействие. С улучшением безопасности DeFi на уровне смарт-контрактов, злоумышленники нацеливаются на самые слабые звенья — приложения, издателей и инфраструктуру обновлений, где доверие является самой большой уязвимостью.

Что пользователи должны знать дальше?

Для пользователей Linux, хранящих криптовалюту, процессы загрузки и обновления программного обеспечения кошелька должны выполняться с особой осторожностью. Пользователям необходимо проверять личность издателей, проверять официальные источники загрузки и избегать ввода фраз восстановления на незнакомых платформах. Команды безопасности также могут потребовать более тщательного мониторинга списков в Snap Store, особенно при внезапных изменениях в собственности издателей.

Вывод из предупреждения SlowMist ясен: сейчас самая большая опасность часто исходит не от очевидных фишинговых схем, а от доверенных источников.

Выделенные новости криптовалют:

Том Ли предупреждает, что рынки криптовалют могут столкнуться с болезненной коррекцией в 2026 году