【安全圈】Linux 用戶注意：Snap Store 爆發(fā)新型攻擊，過(guò)期域名成黑客后門

關(guān)鍵詞

惡意軟件

前 Canonical 員工、資深社區(qū)成員 Alan Pope 于 1 月 17 日發(fā)出嚴(yán)厲警告，指出 Canonical（熱門發(fā)行版 Ubuntu 背后公司）運(yùn)營(yíng)的 Linux Snap 商店正面臨一種新型供應(yīng)鏈攻擊。

Alan Pope 目前維護(hù)近 50 個(gè) Snap 應(yīng)用，他在博文中揭露了一項(xiàng)令人擔(dān)憂的新趨勢(shì)：攻擊者正在利用平臺(tái)機(jī)制漏洞，將長(zhǎng)期存在的 " 良民 " 應(yīng)用轉(zhuǎn)化為惡意軟件。

早期的攻擊多依賴創(chuàng)建新賬號(hào)并偽造逼真的應(yīng)用頁(yè)面，容易被識(shí)別。然而，現(xiàn)在的攻擊者轉(zhuǎn)而監(jiān)控 Snap 商店中關(guān)聯(lián)域名已過(guò)期的開(kāi)發(fā)者賬號(hào)。

一旦發(fā)現(xiàn)目標(biāo)域名失效，攻擊者便立即將其注冊(cè)，隨后利用該域名的郵箱在 Snap Store 觸發(fā)密碼重置，從而兵不血刃地接管已建立長(zhǎng)期信譽(yù)的發(fā)布者身份。這意味著，用戶幾年前安裝且一直信任的合法軟件，可能在一夜之間被黑客通過(guò)官方更新通道植入惡意代碼。

目前已確認(rèn) storewise.tech 和 vagueentertainment.com 兩個(gè)發(fā)布者域名通過(guò)此方法遭劫持。被篡改的應(yīng)用通常會(huì)偽裝成 Exodus、Ledger Live 或 Trust Wallet 等知名加密錢包，其界面與正版幾乎沒(méi)有差別。

應(yīng)用啟動(dòng)后會(huì)先連接遠(yuǎn)程服務(wù)器驗(yàn)證網(wǎng)絡(luò)，隨即誘導(dǎo)用戶輸入 " 錢包恢復(fù)助記詞 "。用戶一旦提交，這些敏感信息會(huì)即刻傳至攻擊者服務(wù)器，導(dǎo)致資金被盜。由于利用了舊有的信任關(guān)系，此類攻擊往往在受害者察覺(jué)前就已得手。

盡管 Canonical 會(huì)在接到舉報(bào)后移除惡意應(yīng)用，但 Pope 指出執(zhí)法往往滯后于發(fā)現(xiàn)，惡意更新在被下架前通常已有足夠時(shí)間侵害用戶。

對(duì)此，安全專家提出了雙向建議：開(kāi)發(fā)者務(wù)必確保域名續(xù)費(fèi)及時(shí)并開(kāi)啟雙重驗(yàn)證（2FA）以鎖定賬號(hào)權(quán)限；對(duì)于普通用戶，尤其是涉及加密貨幣資產(chǎn)時(shí)，應(yīng)徹底摒棄通過(guò)應(yīng)用商店安裝錢包軟件的習(xí)慣，轉(zhuǎn)而直接從項(xiàng)目官方網(wǎng)站獲取安裝包，以規(guī)避此類供應(yīng)鏈風(fēng)險(xiǎn)。

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！