- Hackers assumem contas de publicadores existentes no Snap Store para enviar atualizações maliciosas de pacotes legítimos, visando roubar criptomoedas.
- Os ataques utilizam domínios expirados e endereços de e‑mail vinculados a publicadores antigos para distribuir as atualizações nocivas.
- Pacotes pareciam normais, mas passaram a coletar frases de recuperação de carteira e enviar dados aos servidores dos criminosos por meio de atualizações automáticas.
- A Canonical removeu os snaps maliciosos, mas o caso evidencia fraquezas no modelo de confiança da plataforma, com tomada de domínios e vulnerabilidades em verificações de contas.
- Recomendações envolvem monitorar vencimento de domínios, exigir autenticação em dois fatores para contas inativas e usar ferramentas como SnapScope para sinalizar snaps suspeitos antes da instalação.
Hackers hijack Snap Store accounts to push crypto-stealing malware on Linux
Hackers estão explorando pacotes confiáveis da Snap Store para roubar criptomoedas, assumindo contas de publishers existentes em vez de criar novas. A prática surge como evolução de ataques contra a plataforma mantida pela Canonical.
Segundo um aviso de um contribuidor do Ubuntu e de um ex-desenvolvedor da Canonical, Alan Pope, os invasores aproveitam domínios expirados e endereços de e-mail ligados a desenvolvedores de longa data para sequestrar contas do Snapcraft.
Como o ataque funciona
Uma vez com acesso, os atacantes atualizam pacotes já conhecidos com malware, usando a atualização automática para enganar usuários acostumados com a reputação do publisher. A tática se apoia na confiança histórica associada aos pacotes.
O Snap Store, assim como outros repositórios, tem sido alvo de campanhas de malware. Inicialmente, golpes criavam apps falsos de carteiras de criptomoedas em contas novas, tentando parecer legítimos.
Riscos e respostas da plataforma
Com o tempo, a abordagem evoluiu para um esquema de sequestro de domínios expirados de publishers legítimos, permitindo a distribuição de malware via updates automáticos. Os apps parecem normais, mas coletam frases de recuperação de carteiras e enviam dados a servidores controlados pelos atacantes.
A Canonical removeu os snaps maliciosos, mas o incidente evidencia falhas no modelo de confiança da plataforma. O pesquisador Alan Pope pediu maior verificação de contas inativas, monitoramento de expiração de domínios e autenticação de dois fatores obrigatória.
Medidas sugeridas e alertas de segurança
Pope destacou atrasos na remoção de snaps maliciosos, que podem durar dias. Ele recomenda cautela extra ao instalar carteiras de criptomoeda no Linux e sugere baixar apenas de sites oficiais dos projetos.
Ferramentas como o SnapScope ajudam usuários a identificar snaps suspeitos antes da instalação. Além disso, reforços para registrar domínios e proteger contas do Snapcraft com MFA são apontados como medidas importantes.
Dados do setor indicam aumento de atividades ilícitas com criptomoedas, reforçando a necessidade de práticas de segurança mais rígidas em plataformas de distribuição de software. Autoridades e pesquisadores seguem monitorando incidentes semelhantes.
Entre na conversa da comunidade