Злоумышленники используют доверие к официальному магазину приложений Snap Store в Linux для кражи секретных фраз (сид-фраз) от криптокошельков. Об этом предупредил глава информационной безопасности компании SlowMist под псевдонимом 23pds.
Атака работает по следующей схеме: киберпреступники регистрируют просроченные домены, связанные с аккаунтами разработчиков в Snap Store. Это позволяет им незаметно получить контроль над учётными записями, у которых уже есть история и активные пользователи.
Затем через официальные каналы мошенники рассылают жертвам обновления для уже установленного программного обеспечения. Эти обновления содержат вредоносный код. Скомпрометированные приложения маскируются под популярные криптокошельки, такие как Exodus, Ledger Live или Trust Wallet, и под видом процедуры восстановления запрашивают у пользователя мнемоническую фразу, которая сразу попадает к злоумышленникам.
По данным SlowMist, по этой схеме уже были взломаны два домена: «storewise[.]tech» и «vagueentertainment[.]com».
Эта атака отражает общий тренд в киберугрозах для криптоиндустрии: вместо прямых атак на смарт-контракты преступники всё чаще нацеливаются на инфраструктуру и каналы распространения ПО, эксплуатируя доверие пользователей к официальным источникам.
Ранее, в конце декабря, хакеры внедрили вредоносный код в обновление Trust Wallet для Chrome, что привело к краже около $8,5 млн с более чем 2500 адресов. Как выяснилось, причиной стала масштабная атака на цепочку поставок Sha1-Hulud, в ходе которой злоумышленники получили доступ к секретным данным разработчиков на GitHub и API-ключу магазина Chrome Web Store.
Напомним, что по данным Chainalysis, в 2025 году хакеры похитили криптовалюты на общую сумму свыше $3,4 млрд.
Популярные лонгриды:
Все новости крипты
в одном месте!
Больше не нужно искать — необходимые
обучающие материалы и подсказки всегда под рукой