Хакеры взламывают аккаунты Snap Store, чтобы распространять вредоносное ПО для кражи криптовалюты в Linux

Атаки основаны на истекших сроках действия доменов и адресов электронной почты для распространения вредоносных обновлений.

Хакеры, занимающиеся криптовалютой, используют надежное программное обеспечение для Linux для кражи цифровых активов, применяя новую технику, которая превращает легитимные пакеты Snap Store во вредоносное ПО.

Основные моменты:

• Хакеры используют надежные пакеты Snap Store для кражи криптовалюты, взламывая существующие аккаунты разработчиков.
• Атаки основаны на истекших сроках действия доменов и адресов электронной почты для распространения вредоносных обновлений.
• Эти инциденты выявляют слабые места в модели доверия и безопасности платформы.

Вместо создания новых аккаунтов в Snap Store, которым управляет компания Canonical, злоумышленники теперь захватывают существующие аккаунты разработчиков, согласно предупреждению от участника Ubuntu и бывшего разработчика Canonical Алана Поупа.

Метод заключается в выявлении истекших доменов и адресов электронной почты, связанных с давними разработчиками Snap Store, регистрации этих доменов, а затем использовании полученного доступа для взлома аккаунтов Snapcraft.

Злоумышленники превращают легитимные пакеты во вредоносные

После получения доступа злоумышленники распространяют вредоносные обновления для пакетов, которые ранее были безопасными, обманывая пользователей автоматическими обновлениями и используя устоявшиеся сигналы доверия.

Snap Store, как и другие крупные репозитории пакетов, давно является целью для кампаний вредоносного ПО.

На ранних этапах попытки были относительно простыми, при этом мошенники публиковали поддельные приложения для криптовалютных кошельков, создавая новые аккаунты.

Когда эти попытки стали легче обнаруживать, злоумышленники начали маскировать вредоносные приложения, используя похожие символы из других алфавитов, чтобы обходить фильтры.

По словам Поупа, тактика затем эволюционировала в подход "приманки и обмана". Злоумышленники публиковали безвредное программное обеспечение под нейтральными названиями, такими как "lemon-throw" или "alpha-hub", часто представляя его в виде простых игр. После одобрения и периода бездействия следовало тихое обновление, которое вводило поддельный криптовалютный кошелек, предназначенный для кражи средств.

Последнее развитие событий повышает ставки. Как минимум в двух подтвержденных случаях злоумышленники получили контроль над истекшими доменами, которые ранее принадлежали легитимным разработчикам Snap, и использовали их для распространения вредоносного ПО для кражи кошельков с помощью автоматических обновлений.

Новая схема в Snap Store использует истекшие домены разработчиков, чтобы обойти сигналы доверия и распространять вредоносные обновления приложений. https://t.co/nWL9HGXACe #Linux #OpenSource

• Linuxiac (@linuxiac) 19 января 2026 г.

Затронутые приложения выглядели нормально на поверхности, но были созданы для сбора фраз восстановления кошельков и передачи их на серверы, контролируемые злоумышленниками.

К тому моменту, когда пользователи заметили подозрительное поведение, средства и конфиденциальные данные уже были скомпрометированы.

Компания Canonical впоследствии удалила вредоносные пакеты snap, но Pope предупредил, что реакция выявила более глубокие недостатки в модели доверия платформы.

Он заявил, что захват доменов подрывает долговечность издателей как сигнала безопасности и призвал к дополнительным мерам защиты, включая мониторинг истечения срока действия доменов, усиленную проверку учетных записей неактивных издателей и обязательную двухфакторную аутентификацию.

Исследователь в области безопасности предупреждает о задержках в удалении вредоносных пакетов из Snap Store

Pope также отметил задержки в удалении сообщений о вредоносных пакетах, иногда достигающие нескольких дней.

Он посоветовал пользователям проявлять особую осторожность при установке криптовалютных кошельков в Linux и рассмотреть возможность загрузки их непосредственно с официальных сайтов проектов, а не из магазинов приложений.

Чтобы помочь пользователям оценить риски, Pope создал SnapScope, веб-инструмент, который помечает пакеты как подозрительные или вредоносные до установки.

Он также призвал разработчиков поддерживать активную регистрацию доменов и обеспечивать безопасность учетных записей Snapcraft и электронной почты с помощью двухфакторной аутентификации.

Согласно данным компании Chainalysis, нелегальные криптовалютные адреса получили рекордные 154 миллиарда долларов в 2025 году, что является значительным увеличением по сравнению с предыдущим годом.

В другом случае, прокуратура США обвинила 23-летнего жителя Бруклина, Рональда Спектора, в краже примерно 16 миллионов долларов в криптовалюте у около 100 пользователей Coinbase с использованием предполагаемой схемы фишинга и социальной инженерии.