SlowMist Tandai Serangan Snap Store yang Menargetkan Frasa Seed Crypto

• Para penyerang membajak penerbit di Snap Store menggunakan domain yang kedaluwarsa dan menyebarkan pembaruan berbahaya untuk dompet.
• Aplikasi palsu meniru Exodus, Ledger Live, dan Trust Wallet untuk menipu pengguna agar memasukkan frasa pemulihan mereka.
• Serangan ini menunjukkan tren meningkatnya serangan rantai pasok daripada serangan kontrak pintar.

Perusahaan keamanan blockchain SlowMist telah menandai ancaman baru berbasis Linux yang menargetkan frasa pemulihan kripto dengan memanfaatkan aplikasi tepercaya yang didistribusikan melalui Snap Store. Perusahaan memperingatkan bahwa penyerang membajak akun penerbit Snap Store yang sudah lama ada dan mendorong pembaruan dompet berbahaya melalui saluran distribusi resmi, sehingga menempatkan pengguna Linux jangka panjang dalam risiko.

Dalam sebuah posting di X, kepala petugas keamanan informasi SlowMist 23pds mengatakan bahwa penyerang menyalahgunakan domain kedaluwarsa yang terkait dengan penerbit Snap Store yang sah. Setelah mengendalikan kembali domain tersebut, penyerang mengatur ulang kredensial akun, mengambil alih akun pengembang tepercaya, dan menerbitkan malware yang disamarkan sebagai pembaruan perangkat lunak dompet. Taktik ini memberi keuntungan berbahaya: pengguna sering mempercayai pembaruan dari penerbit yang sudah mapan dan menginstalnya tanpa curiga.

Setelah aplikasi berbahaya tersebut masuk ke sistem korban, mereka meminta pengguna untuk memasukkan frasa pemulihan dompet kripto. Malware kemudian mengekstrak frasa tersebut, memungkinkan penyerang menguras dompet dengan cepat, seringkali sebelum korban menyadari ada yang salah.

Penyerang membajak penerbit Snap Store menggunakan domain kedaluwarsa

Snap Store adalah toko aplikasi resmi untuk Linux, digunakan untuk distribusi perangkat lunak yang dikemas sebagai “snaps.” Ini dianggap sumber tepercaya oleh banyak pengguna, seperti App Store atau Microsoft Store, karena menyediakan penerbit terverifikasi, pembaruan mudah, dan distribusi terpusat.

SlowMist mengatakan bahwa penyerang menargetkan akun penerbit yang terkait dengan domain yang telah kedaluwarsa. Setelah domain kedaluwarsa, penjahat dapat mendaftarkannya kembali dan mendapatkan akses ke alamat email yang terkait dengan domain tersebut. Dari sana, mereka dapat memulai reset kata sandi dan menguasai akun pengembang Snap Store.

Metode ini memungkinkan penyerang untuk mengompromikan penerbit yang memiliki pengguna aktif dan riwayat unduhan yang sudah ada. Alih-alih bergantung pada korban untuk mengunduh aplikasi berbahaya yang baru, mereka menyuntikkan malware ke dalam pembaruan reguler. Taktik rantai pasok ini meningkatkan tingkat keberhasilan karena pengguna lebih cenderung menerima pembaruan dan tidak memeriksa semua perubahan.

SlowMist telah mengidentifikasi setidaknya dua domain yang terkait dengan akun penerbit yang dikompromikan: “storewise[.]tech” dan “vagueentertainment[.]com.” Setelah penyerang membajak akun tersebut, mereka diduga menggunakan aplikasi untuk menyamar sebagai merek dompet kripto populer.

Aplikasi dompet palsu meniru merek terpercaya

Menurut SlowMist, aplikasi Snap Store yang terpengaruh adalah klon dari aplikasi dompet populer seperti Exodus, Ledger Live, dan Trust Wallet. Penyerang menggunakan antarmuka pengguna yang sangat mirip dengan aplikasi asli, yang meningkatkan kredibilitas dan mengurangi kecurigaan.

Aplikasi ini, setelah diinstal atau diperbarui, akan meminta pengguna memasukkan frasa pemulihan dompet mereka dengan tujuan pengaturan dompet, sinkronisasi, atau verifikasi akun. Setelah pengguna memberikan frasa pemulihan dompet, penyerang dapat menggunakan frasa tersebut untuk mengembalikan dompet dan menguras dana tanpa perlu akses lebih lanjut ke perangkat korban.

Pendekatan ini tetap sangat efektif karena frasa seed memberikan kendali penuh atas aset. Bahkan kata sandi terkuat dan keamanan perangkat tidak dapat melindungi dana setelah hacker memiliki frasa pemulihan.

Serangan rantai pasok semakin merugikan

Insiden di Snap Store adalah bagian dari tren yang lebih besar dalam keamanan kripto, di mana penyerang beralih dari mengeksploitasi protokol ke merusak infrastruktur. Alih-alih menyerang kontrak pintar secara langsung, penjahat semakin menargetkan sistem distribusi perangkat lunak tepercaya, saluran pembaruan, dan penyedia layanan pihak ketiga.

Data CertiK yang dibagikan kepada media pada bulan Desember menunjukkan kerugian hacking kripto mencapai $3,3 miliar pada tahun 2025, meskipun jumlah insiden menurun. Menurut CertiK, kerugian tersebut lebih terkonsentrasi pada beberapa kejadian rantai pasok yang lebih serius, dengan kerugian sebesar $1,45 miliar yang dikaitkan dengan hanya dua insiden besar.

Tren ini menunjukkan bahwa penyerang mengoptimalkan skala dan dampak. Dengan peningkatan keamanan DeFi di tingkat kontrak pintar, penyerang menargetkan tautan terlemah, aplikasi, penerbit, dan infrastruktur pembaruan, di mana kepercayaan adalah kerentanan terbesar.

Apa yang harus diperhatikan pengguna selanjutnya?

Untuk pengguna Linux yang menyimpan kripto, proses pengunduhan dan pembaruan perangkat lunak dompet harus dilakukan dengan hati-hati ekstra. Pengguna perlu memverifikasi identitas penerbit, memeriksa sumber unduhan resmi, dan menghindari memasukkan frasa pemulihan di platform yang tidak dikenal. Tim keamanan juga mungkin perlu memantau listing Snap Store lebih dekat, terutama saat ada perubahan mendadak dalam kepemilikan penerbit.

Pesan utama dari peringatan SlowMist adalah jelas: bahaya terbesar sekarang sering berasal dari sumber tepercaya, bukan dari penipuan phishing yang jelas.

Berita Kripto yang Ditekankan:

Tom Lee Mengingatkan bahwa pasar kripto Bisa Mengalami Koreksi Menyakitkan di 2026