SlowMist ชี้เป้าการโจมตี Snap Store ที่มุ่งเป้าไปที่วลีเมล็ดพันธุ์คริปโต

• ผู้โจมตีได้ยึดบัญชีผู้เผยแพร่บน Snap Store โดยใช้โดเมนหมดอายุและแจกจ่ายอัปเดตมัลแวร์สำหรับกระเป๋าเงิน
• แอปปลอมเลียนแบบ Exodus, Ledger Live และ Trust Wallet เพื่อหลอกลวงผู้ใช้ให้ป้อนรหัสกู้คืนของพวกเขา
• การโจมตีนี้เป็นสัญญาณของแนวโน้มที่เพิ่มขึ้นของการโจมตีในห่วงโซ่อุปทานมากกว่าการโจมตีด้วยสมาร์ทคอนแทรกต์

บริษัทความปลอดภัยบล็อกเชน SlowMist ได้แจ้งเตือนภัยคุกคามใหม่บน Linux ซึ่งมุ่งเป้าไปที่รหัสกู้คืนคริปโตโดยการใช้ช่องโหว่ของแอปพลิเคชันที่เชื่อถือได้ซึ่งแจกจ่ายผ่าน Snap Store บริษัทเตือนว่าผู้โจมตีได้ยึดบัญชีผู้เผยแพร่บน Snap Store ที่มีอยู่เป็นเวลานานและผลักดันอัปเดตกระเป๋าเงินมัลแวร์ผ่านช่องทางการแจกจ่ายอย่างเป็นทางการ ซึ่งเสี่ยงต่อผู้ใช้ Linux ที่ใช้งานมานาน

ในโพสต์บน X, หัวหน้าเจ้าหน้าที่ด้านความปลอดภัยข้อมูลของ SlowMist 23pds กล่าวว่า ผู้โจมตีได้ใช้ประโยชน์จากโดเมนหมดอายุที่เชื่อมโยงกับผู้เผยแพร่บน Snap Store ที่ถูกต้องตามกฎหมาย หลังจากควบคุมโดเมนเหล่านั้นได้แล้ว ผู้โจมตีได้รีเซ็ตข้อมูลรับรองของบัญชี, เข้าควบคุมบัญชีผู้พัฒนาที่เชื่อถือได้ และเผยแพร่มัลแวร์ในรูปแบบอัปเดตซอฟต์แวร์กระเป๋าเงิน กลยุทธ์นี้ให้ข้อได้เปรียบอันตรายแก่การโจมตี: ผู้ใช้มักไว้วางใจอัปเดตจากผู้เผยแพร่ที่มีชื่อเสียงและติดตั้งโดยไม่สงสัย

เมื่อแอปปลอมเหล่านั้นเข้าสู่ระบบของเหยื่อแล้ว จะมีการแจ้งให้ผู้ใช้ป้อนรหัสกู้คืนคริปโต กระบวนการมัลแวร์นี้จะส่งออกข้อมูลรหัสเหล่านั้น ทำให้ผู้โจมตีสามารถถอนเงินในกระเป๋าได้อย่างรวดเร็ว โดยมักจะก่อนที่เหยื่อจะรู้ตัวว่ามีอะไรผิดปกติ

ผู้โจมตีได้ยึดบัญชีผู้เผยแพร่บน Snap Store โดยใช้โดเมนหมดอายุ

Snap Store เป็นร้านแอปพลิเคชันอย่างเป็นทางการสำหรับ Linux ซึ่งใช้สำหรับการแจกจ่ายซอฟต์แวร์ที่บรรจุเป็น “snap” ซึ่งถือเป็นแหล่งที่เชื่อถือได้โดยผู้ใช้หลายคน เช่นเดียวกับ App Store หรือ Microsoft Store เนื่องจากให้บริการผู้เผยแพร่ที่ได้รับการตรวจสอบ, การอัปเดตง่าย และการแจกจ่ายแบบรวมศูนย์

SlowMist กล่าวว่า ผู้โจมตีได้มุ่งเป้าไปที่บัญชีผู้เผยแพร่ที่เชื่อมโยงกับโดเมนที่หมดอายุ เมื่อโดเมนหมดอายุ อาชญากรสามารถลงทะเบียนใหม่และเข้าถึงอีเมลที่เชื่อมโยงกับโดเมนเหล่านั้น จากนั้นพวกเขาสามารถเริ่มต้นการรีเซ็ตรหัสผ่านและควบคุมบัญชีนักพัฒนาบน Snap Store ได้

วิธีนี้ช่วยให้ผู้โจมตีสามารถโจมตีผู้เผยแพร่ที่มีผู้ใช้งานและประวัติการดาวน์โหลดอยู่แล้ว แทนที่จะพึ่งพาเหยื่อในการดาวน์โหลดแอปใหม่มัลแวร์ พวกเขาฉีดมัลแวร์เข้าไปในอัปเดตปกติ วิธีการนี้เพิ่มอัตราความสำเร็จของการโจมตีเนื่องจากผู้ใช้มีแนวโน้มที่จะยอมรับอัปเดตและไม่ตรวจสอบความเปลี่ยนแปลงทั้งหมด

SlowMist ได้ระบุโดเมนอย่างน้อยสองแห่งที่เชื่อมโยงกับบัญชีผู้เผยแพร่ที่ถูกโจมตีว่าเป็น “storewise[.]tech” และ “vagueentertainment[.]com” เมื่อผู้โจมตียึดบัญชีแล้ว พวกเขาอ้างว่านำแอปไปปลอมแปลงแบรนด์คริปโตยอดนิยม

แอปกระเป๋าเงินปลอมเลียนแบบแบรนด์ที่เชื่อถือได้

ตามข้อมูลของ SlowMist แอปบน Snap Store ที่ได้รับผลกระทบเป็นสำเนาของแอปกระเป๋าเงินยอดนิยม เช่น Exodus, Ledger Live และ Trust Wallet ผู้โจมตีใช้ส่วนติดต่อผู้ใช้ที่คล้ายคลึงกับแอปพลิเคชันที่ถูกต้องตามกฎหมาย ซึ่งช่วยเพิ่มความน่าเชื่อถือและลดความสงสัย

แอปเหล่านี้ หลังจากติดตั้งหรืออัปเดตแล้ว จะขอให้ผู้ใช้ป้อนรหัสกู้คืนกระเป๋าเงินโดยมีเป้าหมายเพื่อการตั้งค่ากระเป๋าเงิน, การซิงค์ หรือการตรวจสอบบัญชี หลังจากผู้ใช้ให้รหัสกู้คืนแล้ว ผู้โจมตีสามารถใช้รหัสนี้ในการกู้คืนกระเป๋าเงินและถอนเงินออกไปโดยไม่ต้องเข้าถึงอุปกรณ์ของเหยื่อเพิ่มเติม

แนวทางนี้ยังคงมีประสิทธิภาพสูง เนื่องจากรหัส seed ให้การควบคุมเต็มรูปแบบของสินทรัพย์ แม้แต่รหัสผ่านที่แข็งแกร่งที่สุดและความปลอดภัยของอุปกรณ์ก็ไม่สามารถปกป้องเงินทุนได้หากแฮกเกอร์ครอบครองรหัสกู้คืน

การโจมตีในห่วงโซ่อุปทานกลายเป็นอันตรายมากขึ้น

เหตุการณ์ที่เกิดขึ้นบน Snap Store เป็นส่วนหนึ่งของแนวโน้มที่ใหญ่ขึ้นในด้านความปลอดภัยคริปโต ซึ่งผู้โจมตีเปลี่ยนจากการใช้ช่องโหว่ในโปรโตคอลไปสู่การโจมตีโครงสร้างพื้นฐาน แทนที่จะโจมตีสมาร์ทคอนแทรกต์โดยตรง อาชญากรเพิ่มขึ้นเรื่อย ๆ ที่จะมุ่งเป้าไปที่ระบบการแจกจ่ายซอฟต์แวร์ที่เชื่อถือได้ ช่องทางอัปเดต และผู้ให้บริการบุคคลที่สาม

ข้อมูลจาก CertiK ที่เผยแพร่ให้สื่อในเดือนธันวาคมแสดงให้เห็นว่าการสูญเสียจากการแฮ็กคริปโตในปี 2025 อยู่ที่ 3.3 พันล้านดอลลาร์ แม้ว่าจำนวนเหตุการณ์จะลดลงก็ตาม ตามรายงานของ CertiK การสูญเสียเหล่านี้มีความเข้มข้นมากขึ้นในเหตุการณ์ในห่วงโซ่อุปทานที่น้อยลงแต่รุนแรงมากขึ้น โดยมีการสูญเสียรวม 1.45 พันล้านดอลลาร์ที่เกิดจากเหตุการณ์สำคัญเพียงสองเหตุการณ์เท่านั้น

แนวโน้มนี้ชี้ให้เห็นว่าผู้โจมตีปรับกลยุทธ์เพื่อขยายผลและสร้างผลกระทบ ด้วยการปรับปรุงความปลอดภัยของ DeFi ในระดับสมาร์ทคอนแทรกต์ ผู้โจมตีมุ่งเป้าไปที่จุดอ่อนที่สุด แอปพลิเคชัน, ผู้เผยแพร่ และโครงสร้างพื้นฐานการอัปเดต ซึ่งความเชื่อถือเป็นจุดอ่อนที่ใหญ่ที่สุด

ผู้ใช้ควรระวังอะไรต่อไป?

สำหรับผู้ใช้ Linux ที่เก็บคริปโต กระบวนการดาวน์โหลดและอัปเดตซอฟต์แวร์กระเป๋าเงินต้องระมัดระวังเป็นพิเศษ ผู้ใช้ควรตรวจสอบตัวตนของผู้เผยแพร่, ตรวจสอบแหล่งดาวน์โหลดอย่างเป็นทางการ และหลีกเลี่ยงการป้อนรหัสกู้คืนบนแพลตฟอร์มที่ไม่คุ้นเคย ทีมงานด้านความปลอดภัยอาจต้องเฝ้าระวังรายการบน Snap Store ให้ใกล้ชิดมากขึ้น โดยเฉพาะเมื่อมีการเปลี่ยนแปลงเจ้าของผู้เผยแพร่แบบกะทันหัน

บทสรุปจากการแจ้งเตือนของ SlowMist ชัดเจน: อันตรายที่ใหญ่ที่สุดในปัจจุบันมักมาจากแหล่งที่เชื่อถือได้ ไม่ใช่จากกลโกงฟิชชิ่งที่ชัดเจน

ข่าวคริปโตที่น่าสนใจ:

Tom Lee เตือนว่าตลาดคริปโตอาจเผชิญกับการปรับตัวที่เจ็บปวดในปี 2026