SlowMistが暗号シードフレーズを狙ったSnap Store攻撃の標的を警告

• 攻撃者は有効期限切れのドメインを利用してSnap Storeのパブリッシャーを乗っ取り、ウォレット用の悪意のあるアップデートを配布しました。
• 偽アプリはExodus、Ledger Live、Trust Walletを模倣し、ユーザーにリカバリーフレーズの入力を騙し取るために作られました。
• この攻撃は、スマートコントラクト攻撃よりもサプライチェーン攻撃の増加傾向を示しています。

ブロックチェーンセキュリティ企業のSlowMistは、信頼されたアプリを利用して暗号回復フレーズを狙う新たなLinuxベースの脅威を警告しました。同社は、攻撃者が長年にわたり運営されてきたSnap Storeのパブリッシャーアカウントを乗っ取り、公式配布チャネルを通じて悪意のあるウォレットアップデートを配信していると指摘しています。これにより、長年Linuxを使用しているユーザーが危険にさらされています。

X上の投稿で、SlowMistの最高情報セキュリティ責任者23pdsは、攻撃者が正当なSnap Storeのパブリッシャーに関連付けられた有効期限切れのドメインを悪用していると述べました。これらのドメインを再取得した後、攻撃者はアカウントの認証情報をリセットし、信頼された開発者アカウントを乗っ取り、ウォレットソフトウェアのアップデートに偽装したマルウェアを公開します。この戦術は、ユーザーが信頼する既存のパブリッシャーからのアップデートを疑わずにインストールしてしまうため、危険な優位性を攻撃に与えます。

悪意のあるアプリが被害者のシステムに到達すると、ユーザーに暗号ウォレットのリカバリーフレーズの入力を促します。その後、マルウェアはこれらのフレーズを外部に送信し、攻撃者は素早くウォレットを空にし、被害者が何かがおかしいと気付く前に資金を奪います。

攻撃者は有効期限切れのドメインを使ってSnap Storeのパブリッシャーを乗っ取る

Snap StoreはLinux向けの公式アプリストアで、「スナップ」としてパッケージ化されたソフトウェアの配布に使用されます。多くのユーザーから信頼される情報源とされており、App StoreやMicrosoft Storeと同様に、認証済みのパブリッシャー、簡単なアップデート、集中型の配布を提供しています。

SlowMistは、攻撃者が有効期限切れのドメインに関連付けられたパブリッシャーアカウントを標的にしていると述べました。ドメインが期限切れになると、犯罪者はそれを再登録し、ドメインに紐づくメールアドレスにアクセスできます。そこから、パスワードリセットを行い、Snap Storeの開発者アカウントを掌握します。

この方法により、攻撃者はアクティブなユーザーと既存のダウンロード履歴を持つパブリッシャーを侵害できます。彼らは悪意のある新しいアプリをダウンロードさせるのではなく、通常のアップデートにマルウェアを注入します。このサプライチェーン戦術は、ユーザーがアップデートを受け入れやすく、すべての変更点を確認しない傾向があるため、成功率を高めます。

SlowMistは、少なくとも2つのドメインを特定しています：「storewise[.]tech」と「vagueentertainment[.]com」。攻撃者がアカウントを乗っ取った後、これらのアプリを使って人気の暗号ウォレットブランドになりすましたとされています。

偽ウォレットアプリは信頼できるブランドを模倣

SlowMistによると、影響を受けたSnap Storeのアプリは、Exodus、Ledger Live、Trust Walletなどの人気ウォレットアプリのクローンです。攻撃者は、正規のアプリに非常に似たユーザーインターフェースを使用し、信頼性を高め、疑いを減らしています。

これらのアプリは、インストールまたはアップデート後に、ウォレットのセットアップ、同期、またはアカウント検証を目的として、ユーザーにリカバリーフレーズの入力を求めます。ユーザーがリカバリーフレーズを提供すると、攻撃者はこのフレーズを使ってウォレットを復元し、資金を引き出すことができ、被害者のデバイスにさらにアクセスする必要はありません。

この手法は非常に効果的であり、シードフレーズが資産の完全なコントロールを提供するためです。最も強力なパスワードやデバイスのセキュリティも、攻撃者がリカバリーフレーズを手に入れた時点で資金を守ることはできません。

サプライチェーン攻撃はより破壊的に

Snap Storeでの事件は、暗号セキュリティのより大きなトレンドの一部です。攻撃者は、プロトコルの悪用からインフラの侵害へと移行しています。スマートコントラクトを直接攻撃する代わりに、信頼されたソフトウェア配布システムやアップデートチャネル、サードパーティサービス提供者を標的にしています。

2025年にCertiKがメディアに提供したデータによると、暗号ハックの損失額は33億ドルに達しましたが、事件の数は減少しました。CertiKによると、損失は少数のより深刻なサプライチェーン事件に集中しており、145億ドルの損失のうち2つの主要な事件に起因しています。

この傾向は、攻撃者が規模と影響を最適化していることを示しています。DeFiのセキュリティがスマートコントラクトレベルで向上する中、攻撃者は最も弱い部分、アプリ、パブリッシャー、アップデートインフラを標的にしています。信頼性が最大の脆弱性となっています。

ユーザーが次に注意すべき点は？

暗号を保管しているLinuxユーザーは、ウォレットソフトのダウンロードとアップデートの過程で特に注意が必要です。パブリッシャーの身元を確認し、公式のダウンロードソースを確認し、見知らぬプラットフォームでリカバリーフレーズを入力しないようにしましょう。セキュリティチームは、特にパブリッシャーの所有権に突然の変化があった場合、Snap Storeのリストをより厳重に監視する必要があります。

SlowMistの警告からの教訓は明確です：今や最大の危険は、明白なフィッシング詐欺ではなく、信頼できる情報源からのものです。

注目の暗号ニュース：

Tom Leeは、2026年に暗号市場が痛みを伴う調整に直面する可能性があると警告