Hackers invadem contas da Snap Store para roubar criptomoedas de usuários de Linux
Usuários de Linux enfrentam uma nova ameaça, já que cibercriminosos exploram uma vulnerabilidade crítica na Snap Store da Canonical, sequestrando contas de desenvolvedores confiáveis para distribuir malware que rouba criptomoedas, disfarçado de aplicativos legítimos de carteira digital.
O diretor de segurança da informação da SlowMist, 23pds, cujo nome de usuário no X é @im23pds, alertou que os invasores estão monitorando contas de desenvolvedores cujos nomes de domínio associados expiraram.
Como funciona o ataque à Snap Store?
23pds escreveu : “Usuários de Linux, atenção: um novo tipo de ataque está se alastrando na Snap Store — domínios expirados foram tomados por hackers e transformados em backdoors para roubar criptoativos dos usuários.
Os aplicativos adulterados são disfarçados de carteiras de criptomoedas conhecidas, como Exodus, Ledger Live ou Trust Wallet, enganando os usuários para que insiram sua "frase de recuperação da carteira", resultando no roubo total dos fundos
Assim que um domínio alvo expira e fica disponível para registro, os atacantes o compram imediatamente e, em seguida, usam o endereço de e-mail vinculado a esse domínio para acionar a redefinição de senhas na Snap Store. Isso lhes garante controle total sobredentde editoras confiáveis e consolidadas, sem levantar suspeitas imediatas.
Pelo menos duas contas de desenvolvedor foram confirmadas como comprometidas usando esse método, com os domínios storewise.tech e vagueentertainment.com caindo nas mãos dos atacantes.
Os agentes maliciosos, que se acredita estarem baseados na Croácia, segundo Alan Pope, ex-desenvolvedor da Canonical e colaborador do Ubuntu, vêm realizando campanhas contra usuários da Snap Store há aproximadamente dois anos.
A apropriação indevida de domínios é a evolução mais recente e preocupante da ação desses criminosos, pois agora significa que "softwares legítimos, instalados e confiáveis pelos usuários há anos, podem ter códigos maliciosos injetados por hackers por meio de canais de atualização oficiais da noite para o dia"
Segundo a 23pds, “Os aplicativos adulterados geralmente são disfarçados de carteiras de criptomoedas conhecidas, como Exodus, Ledger Live ou Trust Wallet, com interfaces quase indistinguíveis das versões genuínas.”
Ele afirmou: “Após a inicialização do aplicativo, ele primeiro se conecta a um servidor remoto para verificar a rede e, em seguida, solicita imediatamente ao usuário que insira sua 'frase mnemônica de recuperação da carteira'. Assim que o usuário a envia, esses dados confidenciais são transmitidos instantaneamente para o servidor do invasor, resultando no roubo de fundos.”
As vítimas frequentemente descobrem que seus fundos foram roubados antes mesmo de perceberem que algo está errado, pois o ataque explora relações de confiança de longa data.
O que as principais plataformas estão fazendo para conter os ataques de ressurreição de domínio?
GitHub, PyPI e npm já sofreram ataques semelhantes de ressurreição de domínio . Um estudo acadêmico de 2022 dent mais de 2.800 contas de desenvolvedores do npm configuradas com endereços de e-mail cujos domínios expiraram posteriormente, evidenciando a escala da vulnerabilidade potencial.
Em junho de 2025, a equipe de segurança do Python removeu mais de 1.800 endereços de e-mail expirados de contas de desenvolvedores, forçando-os a verificar novamente suasdentcom domínios ativos no próximo login.
O problema surge do que os especialistas em segurança chamam de deterioração da internet ou de links, em que os desenvolvedores que mudam de emprego ou de provedor de e-mail deixam de atualizar as informações da conta em todas as plataformas, criando brechas de segurança exploráveis.
Pope afirmou que a Canonical precisa abordar a questão implementando medidas de segurança, que podem incluir o monitoramento do vencimento de domínios em contas de editores, a exigência de verificação adicional para contas inativas, a implementação de autenticação de dois fatores obrigatória ou outras medidas.
Reivindique seu lugar gratuito em uma comunidade exclusiva de negociação de criptomoedas - limitada a 1.000 membros.
Artigos Recomendados
