Perusahaan keamanan blockchain SlowMist telah menandai ancaman berbasis Linux baru yang menargetkan frasa pemulihan crypto dengan memanfaatkan aplikasi tepercaya yang didistribusikan melalui Snap Store. Perusahaan memperingatkan bahwa penyerang membajak akun penerbit Snap Store yang sudah lama berdiri dan mendorong pembaruan dompet berbahaya melalui saluran distribusi resmi, yang membahayakan pengguna Linux lama.
Dalam postingan di X, kepala petugas keamanan informasi SlowMist 23pds mengatakan bahwa penyerang menyalahgunakan domain kedaluwarsa yang terkait dengan penerbit Snap Store yang sah. Setelah mendapatkan kembali kendali atas domain tersebut, penyerang mengatur ulang kredensial akun, mengambil alih akun pengembang tepercaya, dan menerbitkan malware yang disamarkan sebagai pembaruan perangkat lunak dompet. Taktik ini memberikan keuntungan berbahaya bagi serangan: pengguna sering mempercayai pembaruan dari penerbit mapan dan menginstalnya tanpa kecurigaan.
Setelah aplikasi berbahaya mendarat di sistem korban, mereka meminta pengguna untuk memasukkan frasa pemulihan dompet crypto. Malware kemudian mengambil frasa-frasa tersebut, memungkinkan penyerang menguras dompet dengan cepat, seringkali sebelum korban menyadari ada yang salah.
Penyerang membajak penerbit Snap Store menggunakan domain kedaluwarsa
Snap Store adalah toko aplikasi resmi untuk Linux, digunakan untuk distribusi perangkat lunak yang dikemas sebagai "snaps". Ini dianggap sebagai sumber tepercaya oleh banyak pengguna, seperti App Store atau Microsoft Store, karena menyediakan penerbit terverifikasi, pembaruan mudah, dan distribusi terpusat.
SlowMist mengatakan penyerang menargetkan akun penerbit yang terkait dengan domain yang telah kedaluwarsa. Setelah domain kedaluwarsa, penjahat dapat mendaftarkannya kembali dan mendapatkan akses ke alamat email yang terkait domain. Dari sana, mereka dapat memulai pengaturan ulang kata sandi dan mengambil alih kendali akun pengembang Snap Store.
Metode ini memungkinkan penyerang membahayakan penerbit dengan pengguna aktif dan riwayat unduhan yang ada. Alih-alih bergantung pada korban untuk mengunduh aplikasi baru yang berbahaya, mereka menyuntikkan malware ke dalam pembaruan biasa. Taktik rantai pasokan ini meningkatkan tingkat keberhasilan karena pengguna lebih cenderung menerima pembaruan dan tidak memeriksa semua perubahan.
SlowMist telah mengidentifikasi setidaknya dua domain yang terkait dengan akun penerbit yang dikompromikan: "storewise[.]tech" dan "vagueentertainment[.]com". Setelah penyerang membajak akun, mereka diduga menggunakan aplikasi untuk meniru merek dompet crypto populer.
Aplikasi dompet palsu meniru merek tepercaya
Menurut SlowMist, aplikasi Snap Store yang terkena dampak adalah klon dari aplikasi dompet populer seperti Exodus, Ledger Live, dan Trust Wallet. Penyerang menggunakan antarmuka pengguna yang sangat mirip dengan aplikasi sah, yang meningkatkan kredibilitas dan mengurangi kecurigaan.
Aplikasi ini, setelah diinstal atau diperbarui, akan meminta pengguna untuk memasukkan frasa pemulihan dompet mereka dengan maksud untuk pengaturan dompet, sinkronisasi, atau verifikasi akun. Setelah pengguna memberikan frasa pemulihan dompet, penyerang dapat menggunakan frasa ini untuk memulihkan dompet dan menguras dananya tanpa perlu akses lebih lanjut ke perangkat korban.
Pendekatan ini tetap sangat efektif karena seed phrase memberikan kendali penuh atas aset. Bahkan kata sandi terkuat dan keamanan perangkat tidak dapat melindungi dana sekali peretas memiliki frasa pemulihan.
Peretasan rantai pasokan menjadi lebih merusak
Insiden di Snap Store adalah bagian dari tren yang lebih besar dalam keamanan crypto, di mana penyerang beralih dari mengeksploitasi protokol ke membahayakan infrastruktur. Alih-alih menyerang kontrak pintar langsung, penjahat semakin menargetkan sistem distribusi perangkat lunak tepercaya, saluran pembaruan, dan penyedia layanan pihak ketiga.
Data CertiK yang dibagikan dengan media pada Desember menunjukkan kerugian peretasan crypto mencapai $3,3 miliar pada 2025, meskipun jumlah insiden menurun. Menurut CertiK, kerugian lebih terkonsentrasi dalam peristiwa rantai pasokan yang lebih sedikit tetapi lebih serius, dengan $1,45 miliar kerugian dikaitkan dengan hanya dua insiden besar.
Tren ini menunjukkan bahwa penyerang mengoptimalkan untuk skala dan dampak. Dengan peningkatan keamanan DeFi di tingkat kontrak pintar, penyerang menargetkan tautan terlemah, aplikasi, penerbit, dan infrastruktur pembaruan, di mana kepercayaan adalah kerentanan terbesar.
Apa yang harus diperhatikan pengguna selanjutnya?
Bagi pengguna Linux yang menyimpan crypto, proses unduhan dan pembaruan perangkat lunak dompet harus dilakukan dengan ekstra hati-hati. Pengguna perlu memverifikasi identitas penerbit, memeriksa sumber unduhan resmi, dan menghindari memasukkan frasa pemulihan di platform yang tidak dikenal. Tim keamanan juga mungkin perlu memantau daftar Snap Store lebih dekat, terutama ketika ada perubahan mendadak dalam kepemilikan penerbit.
Pelajaran dari peringatan SlowMist jelas: bahaya terbesar sekarang sering datang dari sumber tepercaya, bukan penipuan phishing yang jelas.
Berita Crypto yang Disorot:
Tom Lee Peringatkan Pasar Crypto Bisa Hadapi Koreksi Menyakitkan pada 2026
