区块链安全公司SlowMist已发现一种新的基于Linux的威胁,利用通过Snap Store分发的可信应用程序,针对加密恢复短语进行攻击。该公司警告称,攻击者正在劫持长期存在的Snap Store发布者账户,通过官方渠道推送恶意钱包更新,危及长期使用Linux的用户。
在X平台的一篇帖子中,SlowMist首席信息安全官23pds表示,攻击者滥用与合法Snap Store发布者相关的过期域名。在重新控制这些域名后,攻击者重置账户凭据,接管可信开发者账户,并发布伪装成钱包软件更新的恶意软件。这一策略赋予攻击者极大的优势:用户通常信任来自知名发布者的更新,并在没有怀疑的情况下安装。
一旦恶意应用到达受害者系统,它们会提示用户输入加密钱包的恢复短语。随后,恶意软件会窃取这些短语,使攻击者能够迅速清空钱包,通常在受害者察觉之前。
Snap Store是Linux的官方应用商店,用于分发打包为“snap”的软件。它被许多用户视为可信来源,就像App Store或Microsoft Store一样,因为它提供经过验证的发布者、便捷的更新和集中式分发。
SlowMist表示,攻击者正针对与已过期域名相关的发布者账户。一旦域名过期,犯罪分子可以重新注册并获得与域名关联的电子邮件地址,从而发起密码重置,控制Snap Store开发者账户。
这种方法使攻击者能够攻破拥有活跃用户和已有下载历史的发布者。它们不依赖受害者下载恶意新应用,而是将恶意软件注入到正常的更新中。这种供应链攻击策略提高了成功率,因为用户更倾向于接受更新而不检查所有变更。
SlowMist已识别出至少两个与被攻占的发布者账户相关的域名:“storewise[.]tech”和“vagueentertainment[.]com”。一旦攻击者劫持账户,他们据称会利用这些应用模仿流行的加密钱包品牌。
据SlowMist称,受影响的Snap Store应用是流行钱包应用如Exodus、Ledger Live和Trust Wallet的克隆版本。攻击者使用的界面与正版应用高度相似,增强了可信度并降低了怀疑。
这些应用在安装或更新后,会要求用户输入钱包恢复短语,意在钱包设置、同步或账户验证。用户提供恢复短语后,攻击者可以利用该短语恢复钱包并迅速转移资金,无需进一步访问受害者设备。
这种方法依然非常有效,因为种子短语提供了对资产的完全控制。即使是最强的密码和设备安全措施,也无法在攻击者掌握恢复短语后保护资金。
Snap Store事件是加密安全中更大趋势的一部分,即攻击者从利用协议转向破坏基础设施。攻击者不再直接攻击智能合约,而是越来越多地针对可信的软件分发系统、更新渠道和第三方服务提供商。
CertiK在2025年12月向媒体披露的数据显示,尽管事件数量有所下降,加密黑客造成的损失已达33亿美元。根据CertiK的统计,损失更集中在少数几次严重的供应链事件中,仅两起重大事件就造成了14.5亿美元的损失。
这一趋势表明,攻击者正优化规模和影响力。随着DeFi在智能合约层面的安全性提升,攻击者开始瞄准最薄弱的环节——应用、发布者和更新基础设施,而信任正是最大的漏洞。
对于存放加密资产的Linux用户,钱包软件的下载和更新过程必须格外小心。用户应验证发布者身份,检查官方下载源,避免在不熟悉的平台输入恢复短语。安全团队也应密切监控Snap Store的列表,尤其是在发布者所有权突然变更时。
从SlowMist的警示中可以清楚看到:当前最大的威胁往往来自可信来源,而非明显的钓鱼诈骗。
重点加密新闻:
Tom Lee警告加密市场可能在2026年面临痛苦的调整
