La firma de seguridad blockchain SlowMist ha alertado sobre una nueva amenaza basada en Linux que se dirige a las frases de recuperación de criptomonedas explotando aplicaciones confiables distribuidas a través de la Snap Store. La compañía advirtió que los atacantes están secuestrando cuentas de editores de larga trayectoria en la Snap Store e impulsando actualizaciones maliciosas de billeteras a través de canales de distribución oficiales, poniendo en riesgo a los usuarios veteranos de Linux.
En una publicación en X, el director de seguridad de la información de SlowMist, 23pds, dijo que los atacantes están abusando de dominios caducados vinculados a editores legítimos de la Snap Store. Después de recuperar el control de esos dominios, los atacantes restablecen las credenciales de la cuenta, toman el control de las cuentas de desarrolladores confiables y publican malware disfrazado como actualizaciones de software de billetera. Esta táctica le da al ataque una ventaja peligrosa: los usuarios a menudo confían en las actualizaciones de editores establecidos y las instalan sin sospechar.
Una vez que las aplicaciones maliciosas llegan al sistema de la víctima, solicitan a los usuarios que ingresen sus frases de recuperación de billeteras de criptomonedas. El malware luego exfiltra esas frases, permitiendo a los atacantes vaciar las billeteras rápidamente, a menudo antes de que la víctima se dé cuenta de que algo salió mal.
Los atacantes secuestran editores de la Snap Store utilizando dominios caducados
La Snap Store es la tienda de aplicaciones oficial para Linux, utilizada para la distribución de software empaquetado como "snaps". Es considerada una fuente confiable por muchos usuarios, al igual que la App Store o Microsoft Store, ya que proporciona editores verificados, actualizaciones sencillas y una distribución centralizada.
SlowMist dijo que los atacantes se dirigen a cuentas de editores vinculadas a dominios que han caducado. Una vez que un dominio caduca, los delincuentes pueden volver a registrarlo y obtener acceso a las direcciones de correo electrónico vinculadas al dominio. A partir de ahí, pueden iniciar restablecimientos de contraseñas y apoderarse del control de las cuentas de desarrolladores de la Snap Store.
Este método permite a los atacantes comprometer a editores con usuarios activos e historiales de descarga existentes. En lugar de depender de que las víctimas descarguen las nuevas aplicaciones maliciosas, inyectan el malware en las actualizaciones regulares. Esta táctica de cadena de suministro aumenta la tasa de éxito porque es más probable que los usuarios acepten las actualizaciones y no verifiquen todos los cambios.
SlowMist ha identificado al menos dos dominios asociados con las cuentas de editores comprometidas: "storewise[.]tech" y "vagueentertainment[.]com". Una vez que los atacantes secuestraron las cuentas, supuestamente usaron las aplicaciones para hacerse pasar por marcas populares de billeteras de criptomonedas.
Aplicaciones falsas de billetera imitan marcas confiables
Según SlowMist, las aplicaciones afectadas en la Snap Store son clones de aplicaciones populares de billetera como Exodus, Ledger Live y Trust Wallet. Los atacantes utilizan interfaces de usuario que se asemejan mucho a las aplicaciones legítimas, lo que aumenta la credibilidad y reduce la sospecha.
Estas aplicaciones, después de ser instaladas o actualizadas, pedirán al usuario que ingrese su frase de recuperación de la billetera con la intención de configurar la billetera, sincronizarla o verificar la cuenta. Después de que el usuario haya proporcionado la frase de recuperación de la billetera, el atacante puede usar esta frase para restaurar la billetera y vaciar sus fondos sin necesidad de ningún acceso adicional al dispositivo de la víctima.
Este enfoque sigue siendo muy efectivo porque las frases semilla proporcionan control total de los activos. Ni siquiera las contraseñas más fuertes y la seguridad del dispositivo pueden proteger los fondos una vez que los hackers poseen la frase de recuperación.
Los hackeos de cadena de suministro se vuelven más dañinos
El incidente en la Snap Store es parte de una tendencia más amplia en la seguridad de las criptomonedas, donde los atacantes se están moviendo de explotar protocolos a comprometer infraestructura. En lugar de atacar directamente los contratos inteligentes, los delincuentes se dirigen cada vez más a los sistemas de distribución de software confiables, los canales de actualización y los proveedores de servicios de terceros.
Los datos de CertiK compartidos con medios de comunicación en diciembre mostraron que las pérdidas por hackeos de criptomonedas alcanzaron los $3.3 mil millones en 2025, a pesar de que el número de incidentes disminuyó. Según CertiK, las pérdidas se concentraron más en menos pero más graves eventos de cadena de suministro, con $1.45 mil millones en pérdidas atribuidas a solo dos incidentes importantes.
Esta tendencia indica que los atacantes están optimizando para escala e impacto. Con la mejora de la seguridad DeFi a nivel de contrato inteligente, los atacantes se dirigen a los eslabones más débiles: aplicaciones, editores e infraestructura de actualización, donde la confianza es la mayor vulnerabilidad.
Qué deben vigilar los usuarios a continuación
Para los usuarios de Linux que poseen criptomonedas, los procesos de descarga y actualización del software de billetera deben realizarse con sumo cuidado. Los usuarios necesitan verificar la identidad de los editores, comprobar las fuentes de descarga oficiales y evitar introducir frases de recuperación en plataformas desconocidas. Los equipos de seguridad también pueden necesitar monitorear más de cerca los listados de la Snap Store, especialmente cuando hay cambios repentinos en la propiedad de los editores.
La conclusión de la alerta de SlowMist es clara: el mayor peligro ahora a menudo proviene de fuentes confiables, no de las obvias estafas de phishing.
Noticias Destacadas de Criptomonedas:
Tom Lee Advierte que los Mercados de Criptomonedas Podrían Enfrentar una Corrección Dolorosa en 2026
