SlowMist cảnh báo cuộc tấn công của Snap Store nhằm vào các cụm từ khóa seed trong crypto

• Các hacker đã chiếm quyền các nhà phát hành trên Snap Store bằng cách sử dụng các tên miền hết hạn và phân phối các bản cập nhật độc hại cho ví tiền.
• Các ứng dụng giả mạo bắt chước Exodus, Ledger Live và Trust Wallet nhằm lừa người dùng nhập các cụm từ khôi phục của họ.
• Cuộc tấn công cho thấy xu hướng ngày càng tăng của các cuộc tấn công chuỗi cung ứng thay vì tấn công hợp đồng thông minh.

Công ty an ninh chuỗi khối SlowMist đã cảnh báo về một mối đe dọa mới dựa trên Linux nhằm vào các cụm từ khôi phục tiền điện tử bằng cách khai thác các ứng dụng đáng tin cậy phân phối qua Snap Store. Công ty cảnh báo rằng các hacker đang chiếm quyền các tài khoản nhà phát hành lâu năm trên Snap Store và đẩy các bản cập nhật ví độc hại qua các kênh phân phối chính thức, đặt người dùng Linux lâu năm vào nguy cơ.

Trong một bài đăng trên X, giám đốc an ninh thông tin của SlowMist 23pds cho biết các hacker đang lợi dụng các tên miền hết hạn liên kết với các nhà phát hành Snap Store hợp pháp. Sau khi lấy lại quyền kiểm soát các tên miền đó, các hacker đã đặt lại thông tin đăng nhập tài khoản, chiếm quyền các tài khoản nhà phát triển đáng tin cậy và phát hành phần mềm độc hại ngụy trang như các bản cập nhật phần mềm ví. Chiến thuật này mang lại lợi thế nguy hiểm cho cuộc tấn công: người dùng thường tin tưởng các bản cập nhật từ các nhà phát hành đã được xác thực và cài đặt chúng mà không nghi ngờ.

Khi các ứng dụng độc hại này đã có mặt trên hệ thống của nạn nhân, chúng sẽ yêu cầu người dùng nhập các cụm từ khôi phục ví tiền điện tử. Phần mềm độc hại sau đó sẽ trích xuất các cụm từ này, cho phép hacker rút tiền khỏi ví một cách nhanh chóng, thường trước khi nạn nhân nhận ra có chuyện gì sai.

Các hacker chiếm quyền các nhà phát hành trên Snap Store bằng cách sử dụng các tên miền hết hạn

Snap Store là cửa hàng ứng dụng chính thức dành cho Linux, dùng để phân phối phần mềm được đóng gói dưới dạng “snaps.” Nó được coi là nguồn đáng tin cậy bởi nhiều người dùng, giống như App Store hoặc Microsoft Store, vì cung cấp các nhà phát hành đã xác thực, cập nhật dễ dàng và phân phối tập trung.

SlowMist cho biết các hacker đang nhắm vào các tài khoản nhà phát hành liên kết với các tên miền đã hết hạn. Sau khi tên miền hết hạn, tội phạm có thể đăng ký lại và truy cập các địa chỉ email liên kết với tên miền đó. Từ đó, họ có thể thực hiện đặt lại mật khẩu và chiếm quyền các tài khoản nhà phát triển của Snap Store.

Phương pháp này cho phép hacker xâm phạm các nhà phát hành có người dùng hoạt động và lịch sử tải xuống hiện có. Thay vì phụ thuộc vào nạn nhân tải xuống các ứng dụng mới độc hại, họ tiêm phần mềm độc hại vào các bản cập nhật thông thường. Chiến thuật chuỗi cung ứng này làm tăng tỷ lệ thành công vì người dùng dễ chấp nhận các bản cập nhật hơn và ít kiểm tra các thay đổi.

SlowMist đã xác định ít nhất hai tên miền liên quan đến các tài khoản nhà phát hành bị xâm phạm: “storewise[.]tech” và “vagueentertainment[.]com.” Sau khi các hacker chiếm quyền các tài khoản này, họ được cho là đã sử dụng các ứng dụng để mạo danh các thương hiệu ví tiền điện tử phổ biến.

Các ứng dụng ví giả mạo bắt chước các thương hiệu đáng tin cậy

Theo SlowMist, các ứng dụng trên Snap Store bị ảnh hưởng là các bản sao của các ứng dụng ví phổ biến như Exodus, Ledger Live và Trust Wallet. Các hacker sử dụng giao diện người dùng gần giống với các ứng dụng hợp pháp, điều này làm tăng độ tin cậy và giảm khả năng bị nghi ngờ.

Các ứng dụng này, sau khi được cài đặt hoặc cập nhật, sẽ yêu cầu người dùng nhập cụm từ khôi phục ví nhằm mục đích thiết lập ví, đồng bộ hoặc xác minh tài khoản. Sau khi người dùng cung cấp cụm từ khôi phục ví, hacker có thể sử dụng cụm từ này để khôi phục ví và rút tiền mà không cần truy cập thêm vào thiết bị của nạn nhân.

Cách tiếp cận này vẫn rất hiệu quả vì các cụm từ seed cung cấp quyền kiểm soát toàn bộ tài sản. Ngay cả các mật khẩu mạnh nhất và bảo mật thiết bị cũng không thể bảo vệ quỹ khi hacker đã sở hữu cụm từ khôi phục.

Các cuộc tấn công chuỗi cung ứng ngày càng gây thiệt hại lớn hơn

Sự cố tại Snap Store là một phần của xu hướng lớn hơn trong an ninh tiền điện tử, nơi các hacker chuyển từ khai thác các giao thức sang xâm phạm hạ tầng. Thay vì tấn công trực tiếp các hợp đồng thông minh, tội phạm ngày càng nhắm vào các hệ thống phân phối phần mềm đáng tin cậy, kênh cập nhật và các nhà cung cấp dịch vụ bên thứ ba.

Dữ liệu của CertiK chia sẻ với truyền thông vào tháng 12 cho thấy thiệt hại do hack tiền điện tử đạt 3,3 tỷ USD trong năm 2025, mặc dù số vụ việc giảm. Theo CertiK, các thiệt hại này tập trung vào ít vụ hơn nhưng nghiêm trọng hơn trong các sự kiện chuỗi cung ứng, với 1,45 tỷ USD thiệt hại chỉ do hai vụ lớn.

Xu hướng này cho thấy các hacker đang tối ưu hóa quy mô và tác động. Với việc nâng cao an ninh DeFi ở cấp độ hợp đồng thông minh, các hacker nhắm vào các điểm yếu nhất, các ứng dụng, nhà phát hành và hạ tầng cập nhật, nơi mà sự tin tưởng là điểm yếu lớn nhất.

Người dùng nên chú ý điều gì tiếp theo?

Đối với người dùng Linux giữ tiền điện tử, quá trình tải xuống và cập nhật phần mềm ví cần được thực hiện cẩn thận hơn. Người dùng cần xác minh danh tính của các nhà phát hành, kiểm tra các nguồn tải xuống chính thức và tránh nhập các cụm từ khôi phục trên các nền tảng không quen thuộc. Các nhóm an ninh cũng có thể cần theo dõi các danh sách trên Snap Store chặt chẽ hơn, đặc biệt khi có sự thay đổi đột ngột về quyền sở hữu của các nhà phát hành.

Thông điệp từ cảnh báo của SlowMist rõ ràng: mối nguy hiểm lớn nhất hiện nay thường đến từ các nguồn đáng tin cậy, chứ không phải các vụ lừa đảo phishing rõ ràng.

Các tin tức Crypto nổi bật:

Tom Lee cảnh báo thị trường crypto có thể đối mặt với đợt điều chỉnh đau đớn vào năm 2026