2026.01.27

黑客劫持Snap域名，向Linux軟件包注入

                                                    一、概述

隨著攻擊者繼續(xù)通過(guò)流行的 Linux 軟件包倉(cāng)庫(kù)傳播惡意軟件，Canonical Snap 商店的安全漏洞已達(dá)到關(guān)鍵水平。

騙子正在部署欺詐性的加密貨幣錢(qián)包應(yīng)用，竊取毫無(wú)防備用戶的數(shù)字資產(chǎn)。

該活動(dòng)采用復(fù)雜的策略，旨在規(guī)避檢測(cè)系統(tǒng)并控用戶安裝軟件時(shí)依賴的信任信號(hào)。

該攻擊目標(biāo)是桌面和服務(wù)器環(huán)境，Snap 軟件包提供了便捷的安裝方式。

下載這些被攻破軟件包的用戶誤以為安裝的是合法應(yīng)用，結(jié)果發(fā)現(xiàn)自己的加密貨幣錢(qián)包已被掏空。

威脅不僅限于個(gè)別用戶，還涉及管理 Linux 系統(tǒng)群的組織，在這些組織中，此類惡意軟件可能威脅跨多臺(tái)機(jī)器的安全基礎(chǔ)設(shè)施。

攻擊者隨著時(shí)間推移不斷改進(jìn)他們的方法，從基礎(chǔ)欺騙轉(zhuǎn)向日益先進(jìn)的方法。

他們的武器庫(kù)現(xiàn)在包括模仿真實(shí)加密貨幣平臺(tái)如 Exodus 和 Ledger Live 的應(yīng)用。

這些假冒應(yīng)用上線后，會(huì)從用戶那里收集錢(qián)包恢復(fù)短語(yǔ)，實(shí)時(shí)將憑證傳輸?shù)椒缸锓?wù)器。

安全分析師 Alan Pope 在調(diào)查 Snap Store 生態(tài)系統(tǒng)中可疑包后識(shí)別出這一不斷升級(jí)的威脅模式。

他的研究揭示了一場(chǎng)源自克羅地亞附近地區(qū)的協(xié)調(diào)性攻擊，揭示了攻擊基礎(chǔ)設(shè)施的系統(tǒng)性。

二、域名劫持機(jī)制

 

最令人擔(dān)憂的發(fā)展是攻擊者監(jiān)控 Snap 商店中被遺棄的出版商賬號(hào)。

 

當(dāng)合法 Snap 發(fā)布者的域名注冊(cè)到期時(shí)，犯罪分子會(huì)購(gòu)買(mǎi)這些失效域名，并利用密碼重置機(jī)制控制已建立賬戶。

這種技術(shù)極其有效，因?yàn)楝F(xiàn)有應(yīng)用保留了發(fā)布者的歷史和用戶信任信號(hào)。

攻擊者不會(huì)創(chuàng)建可能受到審查的新賬戶，而是向之前可信的應(yīng)用程序推送惡意更新。用戶在多年前下載的快照上安裝更新后，現(xiàn)在面臨真正的危險(xiǎn)。

攻擊者只需使用新注冊(cè)的域名觸發(fā)密碼重置，幾分鐘內(nèi)即可獲得完整的賬戶訪問(wèn)權(quán)限。

兩個(gè)被識(shí)別的被攻破域名包括 storewise.tech 和 vagueentertainment.com，盡管安全專家懷疑還有其他未被發(fā)現(xiàn)的案例。

這種升級(jí)從根本上改變了威脅格局。用戶此前對(duì)新出版商新發(fā)布的應(yīng)用保持謹(jǐn)慎。

而這種保護(hù)行為則提供了虛假的安全感。三年前安裝的應(yīng)用，在其發(fā)布者域名到期且攻擊者聲稱擁有權(quán)時(shí)，突然變成錢(qián)包竊取惡意軟件的傳遞機(jī)制。

Snap 商店的完整性依賴于 Canonical 立即采取行動(dòng)，實(shí)施域名監(jiān)控、強(qiáng)制雙因素認(rèn)證 ，并驗(yàn)證來(lái)自休眠發(fā)布商的賬戶變更。

在這些保護(hù)措施出現(xiàn)之前，Linux 用戶在從任何倉(cāng)庫(kù)安裝加密貨幣應(yīng)用時(shí)面臨真正的風(fēng)險(xiǎn)。

源:https://cybersecuritynews.com/hackers-hijacking-snap-domains/,本文版權(quán)歸原作者所有,如有侵權(quán)請(qǐng)聯(lián)系我們及時(shí)刪除.

上一篇：Cloudflare 0Day漏洞可繞過(guò)防護(hù)直接訪問(wèn)任意主機(jī)服務(wù)器

下一篇：AI助手Clawdbot的Agent暴露在公網(wǎng)“裸奔”