Hackers secuestran cuentas de Snap Store para robar criptomonedas a usuarios de Linux
Los usuarios de Linux se enfrentan a una nueva amenaza a medida que los cibercriminales explotan una vulnerabilidad crítica en Snap Store de Canonical, secuestrando cuentas de desarrolladores confiables para distribuir malware que roba criptomonedas disfrazado de aplicaciones de billetera legítimas.
El director de seguridad informática de SlowMist, 23pds, cuyo nombre de usuario X es @im23pds, advirtió que los atacantes están monitoreando las cuentas de desarrolladores cuyos nombres de dominio asociados han expirado.
¿Cómo funciona el ataque Snap Store?
23pds escribió : “Usuarios de Linux, tengan cuidado: un nuevo tipo de ataque está causando estragos en Snap Store: los piratas informáticos se han apoderado de dominios vencidos y los han convertido en puertas traseras para robar los activos criptográficos de los usuarios.
Las aplicaciones manipuladas se disfrazan de billeteras de criptomonedas conocidas como Exodus, Ledger Live o Trust Wallet, engañando a los usuarios para que ingresen su "frase inicial de recuperación de billetera", lo que resulta en un robo total de fondos"
Una vez que un dominio objetivo caduca y está disponible para registro, los atacantes lo compran inmediatamente y usan la dirección de correo electrónico vinculada a ese dominio para activar el restablecimiento de contraseñas en la Tienda Snap. Esto les otorga control total sobredentde editores de confianza y larga trayectoria sin levantar sospechas inmediatas.
Se ha confirmado que al menos dos cuentas de desarrolladores fueron comprometidas utilizando este método, y los dominios storewise.tech y vagueentertainment.com cayeron en manos de los atacantes.
Los actores maliciosos, que se cree que tienen su base en Croacia según Alan Pope, ex desarrollador de Canonical y colaborador de Ubuntu, han estado realizando campañas contra los usuarios de Snap Store durante aproximadamente dos años.
La toma de control del dominio es la última y más preocupante evolución de la acción de estos malos actores, ya que ahora significa que "un software legítimo instalado y en el que los usuarios han confiado durante años podría tener código malicioso inyectado por piratas informáticos a través de canales de actualización oficiales de la noche a la mañana"
Según 23pds, “Las aplicaciones manipuladas suelen estar camufladas en monederos de criptomonedas conocidos como Exodus, Ledger Live o Trust Wallet, con interfaces casi indistinguibles de las versiones genuinas”
Afirmó: «Tras iniciarse la aplicación, se conecta a un servidor remoto para verificar la red y, de inmediato, solicita al usuario que introduzca su 'frase mnemotécnica de recuperación de billetera'. Una vez enviada, esta información confidencial se transmite instantáneamente al servidor del atacante, lo que resulta en el robo de fondos»
Las víctimas a menudo descubren que sus fondos han sido robados antes de notar que algo anda mal porque el ataque explota relaciones de confianza de larga data.
¿Qué están haciendo las principales plataformas para limitar los ataques de resurrección de dominios?
GitHub, PyPI y npm han experimentado ataques similares de resurrección de dominios . Un estudio académico de 2022 dent más de 2800 cuentas de desarrollador de npm configuradas con direcciones de correo electrónico cuyos dominios habían expirado posteriormente, lo que pone de relieve la magnitud de la posible vulnerabilidad.
En junio de 2025, el equipo de seguridad de Python eliminó más de 1.800 direcciones de correo electrónico vencidas de las cuentas de desarrolladores, lo que obligó a los desarrolladores a volver a verificar susdentcon dominios activos en su próximo inicio de sesión.
El problema se origina en lo que los expertos en seguridad llaman "rotura de internet" o "rotura de enlaces", donde los desarrolladores que se mueven entre trabajos o proveedores de correo electrónico no actualizan la información de las cuentas en todas las plataformas, creando brechas de seguridad explotables.
El Papa afirmó que Canonical necesita abordar el problema implementando medidas de seguridad, que podrían ser monitorear la expiración del dominio en las cuentas de los editores, requerir verificación adicional para cuentas inactivas, implementar autenticación obligatoria de dos factores u otras medidas.
Reclama tu asiento gratuito en una comunidad exclusiva de comercio de criptomonedas , limitada a 1000 miembros.
Artículos Recomendados
