SlowMist svela un attacco al Linux Snap Store che prende di mira le frasi di recupero del portafoglio cripto

Punti chiave:

• Un nuovo vettore di minaccia sul Linux Snap Store sfrutta applicazioni fidate per colpire le frasi di recupero del portafoglio cripto.
• Gli aggressori utilizzano domini scaduti per dirottare gli account degli editori, consentendo la distribuzione di aggiornamenti dannosi.
• La minaccia si concentra sul furto delle credenziali degli utenti impersonando portafogli cripto popolari come Exodus, Ledger Live e Trust Wallet.
• L'evento evidenzia una tendenza crescente a colpire l'infrastruttura e la distribuzione cripto piuttosto che i codici di smart contract.
• Gli impatti di questi attacchi sono profondi, come dimostrato da una significativa concentrazione di perdite dovute ad attacchi alla catena di approvvigionamento.

WEEX Crypto News, 2026-01-22 07:42:53

Introduzione all'attacco al Linux Snap Store

In una rivelazione senza precedenti, la società di sicurezza SlowMist ha esposto una sofisticata strategia di attacco rivolta agli utenti del Linux Snap Store. Questo schema è particolarmente pericoloso perché capitalizza la fiducia riposta nelle applicazioni popolari per fornire aggiornamenti dannosi destinati a rubare le frasi di recupero delle criptovalute. Le frasi di recupero sono fondamentali per accedere ai portafogli cripto; pertanto, proteggerle è fondamentale.

L'attacco basato su Linux è stato identificato come un exploit di applicazioni distribuite tramite lo Snap Store, che funziona come l'equivalente dell'App Store di Apple o dello Store di Microsoft, ma dedicato agli utenti Linux. Tale approccio consente l'esecuzione di attività dannose sotto le spoglie di applicazioni software legittime, rendendo il rilevamento particolarmente difficile.

Il meccanismo dell'attacco

Il vettore impiegato dagli aggressori prevede il dirottamento di editori fidati dello Snap Store attraverso la vulnerabilità dei domini scaduti. Questo processo inizia con il monitoraggio dei domini collegati agli account degli sviluppatori sullo Snap Store. Una volta che questi domini scadono, gli aggressori li riregistrano. Questa manipolazione consente ai criminali informatici di reimpostare le credenziali dell'account collegate a questi domini, facilitando l'accesso non autorizzato agli account degli editori esistenti.

Con il controllo di questi account fidati e delle loro cronologie di download stabilite, gli aggressori possono distribuire senza problemi aggiornamenti software dannosi alla base di utenti ignari. In particolare, le applicazioni modificate come parte di questo schema sono progettate per impersonare portafogli cripto fidati come Exodus, Ledger Live e Trust Wallet.

Dopo l'installazione di un aggiornamento compromesso, agli utenti viene richiesto di inserire le loro frasi di recupero del portafoglio. Questo invito a inviare credenziali critiche fornisce le informazioni necessarie agli aggressori per accedere e svuotare i conti cripto, spesso senza che l'utente si accorga della violazione finché non è troppo tardi.

La portata e l'impatto della minaccia

Ciò che rende questa minaccia particolarmente dannosa è la sua capacità di operare in modo invisibile. Utilizzando interfacce dall'aspetto legittimo per mascherare intenzioni dannose, gli aggressori hanno effettivamente escogitato un metodo che sfrutta la fiducia degli utenti nelle applicazioni consolidate.

SlowMist ha identificato due domini specifici — “storewise[.]tech” e “vagueentertainment[.]com” — come compromessi utilizzando questo metodo. Questo incidente sottolinea il più ampio cambio di paradigma nel modo in cui gli aggressori prendono di mira le infrastrutture legate alle criptovalute.

Nel panorama in evoluzione delle minacce informatiche, la sicurezza a livello di protocollo è migliorata in modo significativo. Di conseguenza, gli aggressori stanno spostando la loro attenzione verso l'infrastruttura di distribuzione stessa — un approccio che riflette una tendenza crescente nella sicurezza informatica, comunemente indicata come attacchi alla catena di approvvigionamento.

L'aumento degli attacchi alla catena di approvvigionamento

Gli attacchi alla catena di approvvigionamento si infiltrano nel processo di consegna del software, proprio come un virus sfrutta le vie di accesso nel corpo. Qui, gli aggressori assaltano le reti di distribuzione piuttosto che i contenuti digitali stessi, rendendo le misure di sicurezza tradizionali meno efficaci.

I dati di CertiK, condivisi a dicembre, evidenziano questo cambiamento allarmante: sebbene il numero di singoli incidenti di hacking sia diminuito, le perdite totali dovute agli attacchi hanno raggiunto la cifra sbalorditiva di 3,3 miliardi di dollari entro il 2025. Queste perdite erano prevalentemente associate ad attacchi alla catena di approvvigionamento, che hanno rappresentato 1,45 miliardi di dollari da soli due incidenti principali.

La tendenza indica un'evoluzione marcata nelle tecniche di sfruttamento cripto, dove le violazioni vengono eseguite su relazioni di fiducia, aggiornamenti software e infrastrutture di terze parti. Questo metodo è esemplificato dal vettore di attacco dello Snap Store, che dimostra che anche errori minori nella gestione dei domini possono precipitare gravi violazioni della sicurezza.

Proteggersi dagli exploit cripto

Per gli utenti e gli exchange di criptovalute, proteggere l'infrastruttura contro queste minacce sofisticate è fondamentale. Poiché gli aggressori prendono di mira i punti deboli nella catena di approvvigionamento, migliorare le misure di sicurezza in queste aree è critico.

Un passo cruciale è garantire protocolli rigorosi di gestione dei domini per prevenire la scadenza dei domini, eliminando così una vulnerabilità chiave sfruttata in questi attacchi. Gli utenti dovrebbero rimanere vigili su eventuali prompt o richieste insolite dalle loro applicazioni cripto, in particolare quelle che richiedono frasi di recupero sensibili o altre informazioni critiche.

Discussioni e sviluppi attuali

Queste rivelazioni hanno scatenato una considerevole conversazione su varie piattaforme, in particolare su Twitter, sulla necessità di misure di sicurezza più forti nell'infrastruttura cripto. Gli utenti a livello globale esprimono preoccupazioni sulla natura in evoluzione delle minacce informatiche che sfruttano i meccanismi di fiducia e su come gli exchange possano proteggersi da esse.

Con la crescente sofisticazione degli attacchi informatici, sono prevalenti anche le discussioni sulla potenziale integrazione delle caratteristiche di sicurezza intrinseche della blockchain in strategie di sicurezza informatica più ampie — una fusione che potrebbe potenzialmente mitigare le minacce future.

Conclusione e prospettive

La scoperta di questo vettore di attacco è un promemoria cruciale che, man mano che la tecnologia si evolve, devono farlo anche i nostri approcci alla sicurezza informatica. La fiducia che gli utenti ripongono nelle app e nel software può, sfortunatamente, essere trasformata in un'arma, rendendo necessaria una strategia di difesa dinamica e reattiva.

Per gli exchange di criptovalute e i fornitori di portafogli, promuovere una cultura di consapevolezza della sicurezza e mitigazione proattiva delle minacce è essenziale. Allo stesso tempo, gli sviluppi e le intuizioni di aziende di sicurezza come SlowMist necessitano di un'integrazione urgente nelle pratiche quotidiane di sicurezza informatica per prevenire e mitigare tali violazioni.

In conclusione, questo attacco rappresenta un progresso significativo nell'arsenale dei criminali informatici e funge da campanello d'allarme per l'intero ecosistema cripto affinché si adatti e rafforzi le proprie difese non solo contro gli attacchi di oggi, ma anche contro quelli che inevitabilmente verranno in futuro.

FAQ

Cos'è l'attacco al Linux Snap Store?

L'attacco prende di mira gli utenti del Linux Snap Store dirottando applicazioni legittime per distribuire aggiornamenti dannosi che rubano le frasi di recupero delle criptovalute.

Come sfruttano gli aggressori i domini scaduti in questo scenario?

Gli aggressori riregistrano domini scaduti collegati agli account degli editori dello Snap Store per reimpostare le credenziali e ottenere un accesso non autorizzato, consentendo loro di spingere aggiornamenti dannosi.

Quali portafogli cripto sono stati impersonati negli attacchi segnalati?

L'attacco ha impersonato portafogli cripto ben noti come Exodus, Ledger Live e Trust Wallet per indurre gli utenti a inserire le loro frasi di recupero.

Cosa implica l'aumento degli attacchi alla catena di approvvigionamento per la sicurezza cripto?

Indica uno spostamento verso il targeting dell'infrastruttura e dei canali di distribuzione rispetto agli attacchi diretti al codice, rendendo necessarie strategie di difesa avanzate per mitigare queste minacce sofisticate.

Come possono gli utenti proteggere i propri conti cripto da tali attacchi?

Gli utenti dovrebbero mantenere la vigilanza su prompt insoliti nelle loro applicazioni cripto e assicurarsi che gli aggiornamenti delle applicazioni provengano da editori verificati e fidati. Devono inoltre gestire le credenziali di dominio in modo sicuro per evitare lo sfruttamento dell'accesso non autorizzato.