У SlowMist виявили «атаку майбутнього» через Snap Store у Linux

У межах нової атаки зловмисники використовують довіру до офіційного магазину Snap Store у Linux, щоб викрадати сід-фрази криптогаманців. Про це повідомив керівник інформаційної безпеки SlowMist під ніком 23pds.

У межах атаки кіберзлочинці реєструють прострочені домени, пов’язані з акаунтами розробників у Snap Store. Так вони непомітно отримують контроль над обліковими записами з історією та активними користувачами.

Далі шахраї через офіційні канали розповсюджують шкідливі оновлення для вже встановленого на пристроях жертв ПЗ.

Скомпрометовані застосунки маскуються під популярні криптогаманці — Exodus, Ledger Live і Trust Wallet — та пропонують користувачам ввести мнемонічну фразу для відновлення, яку потім надсилають атакувальникам.

За цією схемою зламано два домени — «storewise[.]tech» і «vagueentertainment[.]com», підтвердили в SlowMist.

Описаний фахівцями вектор атаки відображає загальний зсув у кіберзагрозах для криптоіндустрії. Замість прямих спроб компрометації смартконтрактів зловмисники дедалі частіше націлюються на інфраструктуру та канали поширення ПЗ, користуючись довірою користувачів до офіційних джерел.

Наприкінці грудня хакери впровадили шкідливий код в оновлення Trust Wallet для Chrome. Атака вразила 2520 адрес і призвела до втрат на $8,5 млн.

Згодом з’ясувалося, що причиною зламу стала масштабна атака на ланцюжок постачання Sha1-Hulud, зафіксована ще в листопаді. Тоді хакери отримали доступ до секретних даних розробників на GitHub і до API-ключа магазину Chrome Web Store.

Нагадаємо, у 2025 році хакери викрали криптовалют на суму понад $3,4 млрд, з’ясували в Chainalysis.