黑客劫持 Snap Store 賬戶，竊取 Linux 用戶的加密貨幣

Linux 用戶面臨新的威脅，網絡犯罪分子利用 Canonical 的 Snap Store 中的一個嚴重漏洞，劫持受信任的開發者帳戶，分發僞裝成合法錢包應用程序的加密貨幣竊取惡意軟件。.

SlowMist 的首席信息安全官 23pds（其 X 用戶名爲 @im23pds）警告說，攻擊者正在監控關聯域名已過期的開發者帳戶。.

Snap Store 攻擊是如何運作的？

23pds 寫道：“Linux 用戶請注意：Snap Store 中正在發生一種新型攻擊——過期域名已被黑客接管，並被改造成後門來竊取用戶的加密資產。

這些被篡改的應用程序僞裝成知名的加密錢包，例如 Exodus、Ledger Live 或 Trust Wallet，誘騙用戶輸入他們的“錢包恢復助記詞”，從而導致資金被完全盜走。

一旦目標域名過期並可供註冊，攻擊者會立即購買該域名，然後使用與該域名關聯的電子郵件地址在 Snap Store 上觸發密碼重置。這使他們能夠完全控制長期建立的、受信任的發佈商dent，而不會立即引起懷疑。.

至少有兩個開發者帳戶已被證實通過這種方法遭到入侵，域名 storewise.tech 和 vagueentertainment.com 落入了攻擊者手中。.

據前 Canonical 開發人員兼 Ubuntu 貢獻者 Alan Pope 稱，這些惡意行爲者據信位於克羅地亞，他們已經針對 Snap Store 用戶開展了大約兩年的攻擊活動。.

域名接管是這些不良行爲者行動的最新也是最令人擔憂的演變，因爲它現在意味着“用戶多年來安裝和信任的合法軟件可能會在一夜之間被黑客通過官方更新渠道注入惡意代碼”。

據 23pds 稱，“篡改後的應用程序通常僞裝成知名的加密錢包，例如 Exodus、Ledger Live 或 Trust Wallet，其界面幾乎與正版錢包無法區分。”

他表示：“該應用程序啓動後，首先會連接到遠程服務器以驗證網絡，然後立即提示用戶輸入‘錢包恢復助記詞’。一旦用戶提交，這些敏感信息就會立即傳輸到攻擊者的服務器，導致資金被盜。”

受害者往往在發現任何異常之前就發現自己的資金被盜，因爲這種攻擊利用了長期存在的信任關係。.

各大平臺正在採取哪些措施來遏制域名復活攻擊？

GitHub、PyPI 和 npm 都曾遭受過類似的域名復活攻擊。2022 年的一項學術研究dent，超過 2800 個 npm 開發者賬戶配置的電子郵件地址對應的域名後來都已過期，這凸顯了潛在漏洞的嚴重性。

2025 年 6 月，Python 安全團隊從開發者帳戶中刪除了 1800 多個過期的電子郵件地址，迫使開發者在下次登錄時使用有效的域名重新驗證其dent。. 

這個問題源於安全專家所說的互聯網或鏈接失效，即開發人員在不同工作或電子郵件提供商之間流動時，未能更新所有平臺上的帳戶信息，從而造成可被利用的安全漏洞。.

Pope 表示，Canonical 需要通過實施保障措施來解決這個問題，這些措施包括監控發佈商帳戶的域名到期情況、要求對休眠帳戶進行額外驗證、實施強制性雙因素身份驗證或其他措施。.

加密交易社區中申請免費席位- 僅限 1,000 名成員。