La firme de sécurité blockchain SlowMist a signalé une nouvelle menace basée sur Linux qui cible les phrases de récupération de crypto en exploitant des applications de confiance distribuées via le Snap Store. La société a averti que les attaquants piratent des comptes d'éditeurs de longue date du Snap Store et poussent des mises à jour malveillantes de portefeuilles via des canaux de distribution officiels, mettant en danger les utilisateurs de Linux de longue date.
Dans un post sur X, le directeur de la sécurité de l'information de SlowMist, 23pds, a déclaré que les attaquants abusent de domaines expirés liés à des éditeurs légitimes du Snap Store. Après avoir repris le contrôle de ces domaines, les attaquants réinitialisent les identifiants des comptes, prennent le contrôle des comptes de développeurs de confiance et publient des logiciels malveillants déguisés en mises à jour de logiciels de portefeuille. Cette tactique donne à l'attaque un avantage dangereux : les utilisateurs font souvent confiance aux mises à jour provenant d'éditeurs établis et les installent sans suspicion.
Une fois que les applications malveillantes atterrissent sur le système d'une victime, elles invitent les utilisateurs à saisir leurs phrases de récupération de portefeuille crypto. Le logiciel malveillant exfiltre ensuite ces phrases, permettant aux attaquants de vider les portefeuilles rapidement, souvent avant que la victime ne réalise que quelque chose s'est mal passé.
Les attaquants piratent les éditeurs du Snap Store en utilisant des domaines expirés
Le Snap Store est la boutique d'applications officielle pour Linux, utilisée pour la distribution de logiciels empaquetés sous forme de « snaps ». Il est considéré comme une source de confiance par de nombreux utilisateurs, tout comme l'App Store ou le Microsoft Store, car il fournit des éditeurs vérifiés, des mises à jour faciles et une distribution centralisée.
SlowMist a déclaré que les attaquants ciblent des comptes d'éditeurs liés à des domaines qui ont expiré. Une fois qu'un domaine expire, les criminels peuvent le réenregistrer et obtenir l'accès aux adresses e-mail liées au domaine. De là, ils peuvent initier des réinitialisations de mot de passe et s'emparer du contrôle des comptes de développeurs du Snap Store.
Cette méthode permet aux attaquants de compromettre des éditeurs avec des utilisateurs actifs et des historiques de téléchargement existants. Plutôt que de dépendre du téléchargement de nouvelles applications malveillantes par les victimes, ils injectent le logiciel malveillant dans les mises à jour régulières. Cette tactique de chaîne d'approvisionnement augmente le taux de réussite car les utilisateurs sont plus susceptibles d'accepter les mises à jour et de ne pas vérifier tous les changements.
SlowMist a identifié au moins deux domaines associés aux comptes d'éditeurs compromis : « storewise[.]tech » et « vagueentertainment[.]com ». Une fois les comptes piratés, les attaquants auraient utilisé les applications pour imiter des marques populaires de portefeuilles crypto.
Les fausses applications de portefeuille imitent des marques de confiance
Selon SlowMist, les applications Snap Store affectées sont des clones d'applications de portefeuille populaires comme Exodus, Ledger Live et Trust Wallet. Les attaquants utilisent des interfaces utilisateur qui ressemblent étroitement aux applications légitimes, ce qui augmente la crédibilité et réduit la suspicion.
Ces applications, après avoir été installées ou mises à jour, demanderont à l'utilisateur de saisir sa phrase de récupération de portefeuille dans le but de configurer le portefeuille, de synchroniser ou de vérifier le compte. Une fois que l'utilisateur a fourni la phrase de récupération du portefeuille, l'attaquant peut utiliser cette phrase pour restaurer le portefeuille et vider ses fonds sans avoir besoin d'un accès supplémentaire à l'appareil de la victime.
Cette approche reste très efficace car les phrases seed (phrases de récupération) offrent un contrôle total des actifs. Même les mots de passe les plus forts et la sécurité des appareils ne peuvent pas protéger les fonds une fois que les pirates possèdent la phrase de récupération.
Les piratages de la chaîne d'approvisionnement deviennent plus dommageables
L'incident sur le Snap Store s'inscrit dans une tendance plus large en matière de sécurité crypto, où les attaquants passent de l'exploitation de protocoles à la compromission d'infrastructures. Au lieu d'attaquer directement les smart contracts, les criminels ciblent de plus en plus les systèmes de distribution de logiciels de confiance, les canaux de mise à jour et les fournisseurs de services tiers.
Les données de CertiK partagées avec la maison de médias en décembre ont montré que les pertes dues aux piratages crypto ont atteint 3,3 milliards de dollars en 2025, même si le nombre d'incidents a diminué. Selon CertiK, les pertes étaient plus concentrées dans des événements de chaîne d'approvisionnement moins nombreux mais plus graves, 1,45 milliard de dollars de pertes étant attribués à seulement deux incidents majeurs.
Cette tendance indique que les attaquants optimisent pour l'échelle et l'impact. Avec l'amélioration de la sécurité DeFi au niveau des smart contracts, les attaquants ciblent les maillons les plus faibles, les applications, les éditeurs et l'infrastructure de mise à jour, où la confiance est la plus grande vulnérabilité.
Ce que les utilisateurs devraient surveiller ensuite
Pour les utilisateurs de Linux qui détiennent des cryptos, les processus de téléchargement et de mise à jour des logiciels de portefeuille doivent être effectués avec un soin particulier. Les utilisateurs doivent vérifier l'identité des éditeurs, vérifier les sources de téléchargement officielles et éviter de saisir des phrases de récupération sur des plateformes non familières. Les équipes de sécurité pourraient également avoir besoin de surveiller de plus près les listes du Snap Store, surtout en cas de changements soudains dans la propriété des éditeurs.
Le message à retenir de l'alerte de SlowMist est clair : le plus grand danger vient désormais souvent de sources de confiance, et non des arnaques de phishing évidentes.
Actualité Crypto en avant :
Tom Lee avertit que les marchés crypto pourraient faire face à une correction douloureuse en 2026
