SlowMist предупреждает об атаке через Snap Store на фразы восстановления криптокошельков

Компания по безопасности блокчейнов SlowMist сообщила о новом векторе атаки на Linux: злоумышленники используют доверенные приложения из Snap Store, чтобы похищать сид-фразы (фразы восстановления) криптокошельков.

По словам директора по информационной безопасности SlowMist 23pds, опубликованным в X, атакующие перехватывают «старые» аккаунты издателей в Snap Store, используя просроченные домены, и затем распространяют вредоносные обновления через официальные каналы.

Сообщается, что скомпрометированные приложения маскируются под популярные кошельки, включая Exodus, Ledger Live и Trust Wallet, а интерфейс максимально похож на легитимный.

После установки или обновления такие программы предлагают пользователю ввести фразу восстановления, после чего данные выводятся злоумышленникам, и средства могут быть выведены без явных признаков компрометации.

Как злоумышленники захватывают аккаунты издателей Snap Store через истекшие домены

Snap Store — официальный магазин приложений для Linux, распространяющий софт в формате «snaps», и часто воспринимается как аналог App Store или Microsoft Store.

SlowMist поясняет, что атака строится на отслеживании аккаунтов разработчиков в Snap Store, привязанных к доменам, срок регистрации которых истек, но ранее они принадлежали легитимным издателям.

Когда домен становится доступен, злоумышленники могут зарегистрировать его заново и, используя почтовые адреса на этом домене, сбросить учетные данные для доступа к аккаунту в Snap Store.

Как отмечает 23pds, такой подход позволяет незаметно получить контроль над «историческими» аккаунтами издателей с существующей базой загрузок и активными пользователями. После этого вредоносный код распространяется не через новые установки, а через обычные обновления.

SlowMist подтвердила компрометацию двух доменов издателей: storewise[.]tech и vagueentertainment[.]com. Приложения, связанные с этими аккаунтами, предположительно были изменены, чтобы выдавать себя за известные криптокошельки.

Рост атак на цепочку поставок на фоне усложнения криптовзломов

Атака через Snap Store укладывается в более широкий тренд: злоумышленники все чаще бьют по инфраструктуре и каналам распространения, а не по коду смарт-контрактов.

По данным CertiK, которыми компания поделилась с dc.finance в декабре, общий ущерб от криптовзломов в 2025 году достиг $3,3 млрд, несмотря на заметное снижение числа отдельных инцидентов.

В CertiK отмечают, что потери стали концентрироваться в меньшем количестве, но более разрушительных атак на цепочку поставок — $1,45 млрд ущерба всего в двух случаях.

Это может указывать на то, что по мере усиления защиты на уровне протоколов злоумышленники переходят к тактикам с более высоким эффектом, используя доверенные связи, механизмы обновлений и стороннюю инфраструктуру.