В SlowMist обнаружили «атаку будущего» в магазине Linux

В рамках новой атаки злоумышленники используют доверие к официальному магазину Snap Store на Linux для кражи сид-фраз криптокошельков. Об этом сообщил глава информационной безопасности SlowMist под ником 23pds. 

В рамках атаки киберпреступники регистрируют просроченные домены, связанные с аккаунтами разработчиков в Snap Store. Таким образом они незаметно получают контроль над учетными записями с историей и активными пользователями. 

Далее мошенники рассылают через официальные каналы обновления уже установленного на устройства жертв ПО, содержащие вредоносный код. 

Скомпрометированные приложения маскируются под популярные криптокошельки — Exodus, Ledger Live и Trust Wallet — и предлагают пользователям ввести мнемоническую фразу для восстановления, которая затем пересылается атакующим.

По данной схеме взломаны два домена — «storewise[.]tech» и «vagueentertainment[.]com», подтвердили в SlowMist. 

Вектор описанной специалистами атаки отражает общий сдвиг в киберугрозах для криптоиндустрии. Вместо прямых попыток компрометации смарт-контрактов злоумышленники все чаще нацеливаются на инфраструктуру и каналы распространения ПО, наживаясь на доверии пользователей к официальным источникам. 

В конце декабря хакеры внедрили вредоносный код в обновление Trust Wallet для Chrome. Атака затронула 2520 адресов и привела к потерям на $8,5 млн. 

Как выяснилось позднее, причиной взлома стала масштабная атака на цепочку поставок Sha1-Hulud, зафиксированная еще в ноябре. Тогда хакеры получили доступ к секретным данным разработчиков на GitHub и API-ключу магазина Chrome Web Store.

Напомним, в 2025 году хакеры похитили криптовалюты на сумму более $3,4 млрд, выяснили в Chainalysis.