SlowMist signale une attaque ciblant le Snap Store visant les phrases de récupération crypto

• Les attaquants ont piraté les éditeurs sur le Snap Store en utilisant des domaines expirés et ont distribué des mises à jour malveillantes pour le portefeuille.
• Les applications frauduleuses imitaient Exodus, Ledger Live et Trust Wallet afin de tromper les utilisateurs et leur faire saisir leurs phrases de récupération.
• L’attaque témoigne de la tendance croissante aux attaques par chaîne d’approvisionnement plutôt qu’aux attaques par contrats intelligents.

La société de sécurité blockchain SlowMist a signalé une nouvelle menace basée sur Linux ciblant les phrases de récupération crypto en exploitant des applications de confiance distribuées via le Snap Store. La société a averti que des attaquants pirataient des comptes d’éditeurs de longue date sur le Snap Store et diffusaient des mises à jour malveillantes de portefeuilles via les canaux de distribution officiels, mettant en danger les utilisateurs Linux de longue date.

Dans un post sur X, le directeur de la sécurité de l’information de SlowMist, 23pds, a déclaré que les attaquants abusaient de domaines expirés liés à des éditeurs légitimes du Snap Store. Après avoir repris le contrôle de ces domaines, les attaquants réinitialisent les identifiants de compte, prennent le contrôle des comptes de développeurs de confiance et publient des logiciels malveillants déguisés en mises à jour de logiciels de portefeuille. Cette tactique donne à l’attaque un avantage dangereux : les utilisateurs font souvent confiance aux mises à jour provenant d’éditeurs établis et les installent sans suspicion.

Une fois que les applications malveillantes sont installées sur le système de la victime, elles incitent l’utilisateur à saisir ses phrases de récupération de portefeuille crypto. Le logiciel malveillant exfiltre ensuite ces phrases, permettant aux attaquants de vider rapidement les portefeuilles, souvent avant que la victime ne se rende compte que quelque chose a mal tourné.

Les attaquants piratent les éditeurs du Snap Store en utilisant des domaines expirés

Le Snap Store est la boutique officielle d’applications pour Linux, utilisée pour la distribution de logiciels empaquetés sous forme de “snaps”. Il est considéré comme une source fiable par de nombreux utilisateurs, tout comme l’App Store ou le Microsoft Store, car il offre des éditeurs vérifiés, des mises à jour faciles et une distribution centralisée.

SlowMist a indiqué que les attaquants ciblaient des comptes d’éditeurs liés à des domaines expirés. Une fois qu’un domaine expire, les criminels peuvent le réenregistrer et accéder aux adresses email associées au domaine. À partir de là, ils peuvent initier des réinitialisations de mot de passe et prendre le contrôle des comptes de développeurs du Snap Store.

Cette méthode permet aux attaquants de compromettre des éditeurs avec des utilisateurs actifs et un historique de téléchargements existant. Plutôt que de dépendre des victimes pour télécharger les nouvelles applications malveillantes, ils injectent le logiciel malveillant dans les mises à jour régulières. Cette tactique de chaîne d’approvisionnement augmente le taux de succès car les utilisateurs sont plus susceptibles d’accepter les mises à jour sans vérifier tous les changements.

SlowMist a identifié au moins deux domaines associés aux comptes d’éditeurs compromis : “storewise[.]tech” et “vagueentertainment[.]com”. Une fois que les attaquants ont piraté les comptes, ils auraient utilisé les applications pour se faire passer pour des marques populaires de portefeuilles crypto.

Les applications de portefeuille frauduleuses imitent des marques de confiance

Selon SlowMist, les applications du Snap Store affectées sont des clones d’applications de portefeuille populaires comme Exodus, Ledger Live et Trust Wallet. Les attaquants utilisent des interfaces utilisateur qui ressemblent étroitement aux applications légitimes, ce qui augmente leur crédibilité et réduit les soupçons.

Ces applications, après avoir été installées ou mises à jour, demanderont à l’utilisateur de saisir leur phrase de récupération de portefeuille dans le but de configurer, synchroniser ou vérifier le compte. Après que l’utilisateur a fourni la phrase de récupération, l’attaquant peut l’utiliser pour restaurer le portefeuille et vider ses fonds sans avoir besoin d’un accès supplémentaire au dispositif de la victime.

Cette approche reste très efficace car les phrases de récupération donnent un contrôle total sur les actifs. Même les mots de passe les plus forts et la sécurité du dispositif ne peuvent pas protéger les fonds une fois que les hackers possèdent la phrase de récupération.

Les piratages par chaîne d’approvisionnement deviennent plus dommageables

L’incident du Snap Store s’inscrit dans une tendance plus large en sécurité crypto, où les attaquants passent de l’exploitation des protocoles à la compromission de l’infrastructure. Au lieu d’attaquer directement les contrats intelligents, les criminels ciblent de plus en plus les systèmes de distribution de logiciels de confiance, les canaux de mise à jour et les fournisseurs de services tiers.

Les données de CertiK, partagées avec le média en décembre, montraient que les pertes dues aux piratages crypto atteignaient 3,3 milliards de dollars en 2025, même si le nombre d’incidents avait diminué. Selon CertiK, ces pertes étaient plus concentrées dans moins d’événements mais plus graves de la chaîne d’approvisionnement, avec 1,45 milliard de dollars de pertes attribués à seulement deux incidents majeurs.

Cette tendance indique que les attaquants optimisent pour l’échelle et l’impact. Avec l’amélioration de la sécurité DeFi au niveau des contrats intelligents, les attaquants ciblent les maillons faibles, les applications, les éditeurs et l’infrastructure de mise à jour, où la confiance constitue la plus grande vulnérabilité.

Que doivent surveiller les utilisateurs ensuite ?

Pour les utilisateurs Linux qui stockent des crypto, le téléchargement et la mise à jour du logiciel de portefeuille doivent être effectués avec une vigilance accrue. Les utilisateurs doivent vérifier l’identité des éditeurs, vérifier les sources officielles de téléchargement et éviter de saisir leurs phrases de récupération sur des plateformes inconnues. Les équipes de sécurité pourraient également devoir surveiller de plus près les listings du Snap Store, surtout en cas de changements soudains de propriété des éditeurs.

La leçon à tirer de l’alerte SlowMist est claire : le plus grand danger provient souvent des sources de confiance, et non des escroqueries de phishing évidentes.

Actualités crypto en vedette :

Tom Lee avertit que les marchés crypto pourraient subir une correction douloureuse en 2026