Công ty bảo mật blockchain SlowMist đã cảnh báo một mối đe dọa mới dựa trên Linux nhắm mục tiêu vào các cụm từ khôi phục tiền mã hóa bằng cách khai thác các ứng dụng đáng tin cậy được phân phối thông qua Snap Store. Công ty cảnh báo rằng những kẻ tấn công đang chiếm đoạt các tài khoản nhà phát hành Snap Store lâu năm và đẩy các bản cập nhật ví độc hại thông qua các kênh phân phối chính thức, gây nguy hiểm cho người dùng Linux lâu năm.
Trong một bài đăng trên X, giám đốc an ninh thông tin của SlowMist, 23pds, cho biết những kẻ tấn công đang lạm dụng các tên miền đã hết hạn được liên kết với các nhà phát hành Snap Store hợp pháp. Sau khi giành lại quyền kiểm soát những tên miền đó, những kẻ tấn công đặt lại thông tin đăng nhập tài khoản, chiếm quyền điều khiển các tài khoản nhà phát triển đáng tin cậy và phát hành phần mềm độc hại ngụy trang dưới dạng bản cập nhật phần mềm ví. Chiến thuật này mang lại cho cuộc tấn công một lợi thế nguy hiểm: người dùng thường tin tưởng các bản cập nhật từ các nhà phát hành lâu năm và cài đặt chúng mà không nghi ngờ.
Khi các ứng dụng độc hại xâm nhập vào hệ thống của nạn nhân, chúng sẽ nhắc người dùng nhập cụm từ khôi phục ví tiền mã hóa. Phần mềm độc hại sau đó sẽ đánh cắp những cụm từ đó, cho phép kẻ tấn công rút cạn ví một cách nhanh chóng, thường là trước khi nạn nhân nhận ra có điều gì đó không ổn.
Kẻ tấn công chiếm đoạt nhà phát hành Snap Store bằng cách sử dụng tên miền đã hết hạn
Snap Store là cửa hàng ứng dụng chính thức dành cho Linux, được sử dụng để phân phối phần mềm được đóng gói dưới dạng "snaps". Nó được nhiều người dùng coi là một nguồn đáng tin cậy, giống như App Store hoặc Microsoft Store, vì nó cung cấp các nhà phát hành đã được xác minh, cập nhật dễ dàng và phân phối tập trung.
SlowMist cho biết những kẻ tấn công đang nhắm mục tiêu vào các tài khoản nhà phát hành được liên kết với các tên miền đã hết hạn. Khi một tên miền hết hạn, tội phạm có thể đăng ký lại và giành quyền truy cập vào các địa chỉ email được liên kết với tên miền. Từ đó, chúng có thể khởi tạo việc đặt lại mật khẩu và giành quyền kiểm soát các tài khoản nhà phát triển Snap Store.
Phương pháp này cho phép kẻ tấn công xâm phạm các nhà phát hành có người dùng hoạt động và lịch sử tải xuống hiện có. Thay vì phụ thuộc vào việc nạn nhân tải xuống các ứng dụng mới độc hại, chúng tiêm phần mềm độc hại vào các bản cập nhật thông thường. Chiến thuật chuỗi cung ứng này làm tăng tỷ lệ thành công vì người dùng có nhiều khả năng chấp nhận các bản cập nhật và không kiểm tra tất cả các thay đổi.
SlowMist đã xác định được ít nhất hai tên miền liên quan đến các tài khoản nhà phát hành bị xâm phạm: “storewise[.]tech” và “vagueentertainment[.]com.” Sau khi chiếm đoạt các tài khoản, những kẻ tấn công được cho là đã sử dụng các ứng dụng để mạo danh các thương hiệu ví tiền mã hóa phổ biến.
Ứng dụng ví giả mạo bắt chước các thương hiệu đáng tin cậy
Theo SlowMist, các ứng dụng Snap Store bị ảnh hưởng là các bản sao của các ứng dụng ví phổ biến như Exodus, Ledger Live và Trust Wallet. Những kẻ tấn công sử dụng giao diện người dùng giống hệt với các ứng dụng hợp pháp, điều này làm tăng uy tín và giảm sự nghi ngờ.
Những ứng dụng này, sau khi được cài đặt hoặc cập nhật, sẽ yêu cầu người dùng nhập cụm từ khôi phục ví của họ với mục đích thiết lập ví, đồng bộ hóa hoặc xác minh tài khoản. Sau khi người dùng cung cấp cụm từ khôi phục ví, kẻ tấn công có thể sử dụng cụm từ này để khôi phục ví và rút cạn tiền trong đó mà không cần bất kỳ quyền truy cập nào khác vào thiết bị của nạn nhân.
Cách tiếp cận này vẫn rất hiệu quả vì các cụm từ seed cung cấp toàn quyền kiểm soát tài sản. Ngay cả mật khẩu mạnh nhất và bảo mật thiết bị cũng không thể bảo vệ tiền một khi hacker sở hữu cụm từ khôi phục.
Các cuộc tấn công chuỗi cung ứng ngày càng gây thiệt hại nhiều hơn
Sự cố tại Snap Store là một phần của xu hướng lớn hơn trong bảo mật tiền mã hóa, nơi những kẻ tấn công đang chuyển từ việc khai thác các giao thức sang xâm phạm cơ sở hạ tầng. Thay vì tấn công trực tiếp các hợp đồng thông minh, tội phạm ngày càng nhắm mục tiêu vào các hệ thống phân phối phần mềm đáng tin cậy, các kênh cập nhật và các nhà cung cấp dịch vụ bên thứ ba.
Dữ liệu từ CertiK được chia sẻ với giới truyền thông vào tháng 12 cho thấy tổn thất do hack tiền mã hóa đã lên tới 3,3 tỷ USD vào năm 2025, mặc dù số vụ việc đã giảm. Theo CertiK, tổn thất tập trung nhiều hơn vào các sự kiện chuỗi cung ứng ít hơn nhưng nghiêm trọng hơn, với 1,45 tỷ USD tổn thất chỉ do hai sự cố lớn gây ra.
Xu hướng này cho thấy những kẻ tấn công đang tối ưu hóa cho quy mô và tác động. Với sự cải thiện về bảo mật DeFi ở cấp độ hợp đồng thông minh, những kẻ tấn công nhắm mục tiêu vào các liên kết yếu nhất, ứng dụng, nhà phát hành và cơ sở hạ tầng cập nhật, nơi sự tin tưởng là lỗ hổng lớn nhất.
Người dùng nên theo dõi điều gì tiếp theo?
Đối với người dùng Linux có lưu trữ tiền mã hóa, quá trình tải xuống và cập nhật phần mềm ví phải được thực hiện hết sức cẩn thận. Người dùng cần xác minh danh tính của nhà phát hành, kiểm tra các nguồn tải xuống chính thức và tránh nhập cụm từ khôi phục trên các nền tảng không quen thuộc. Các nhóm bảo mật cũng có thể cần giám sát chặt chẽ hơn các danh sách trên Snap Store, đặc biệt là khi có sự thay đổi đột ngột về quyền sở hữu của nhà phát hành.
Thông điệp rút ra từ cảnh báo của SlowMist rất rõ ràng: mối nguy hiểm lớn nhất hiện nay thường đến từ các nguồn đáng tin cậy, chứ không phải các trò lừa đảo lừa đảo rõ ràng.
Tin Tức Tiền Mã Hóa Nổi Bật:
Tom Lee Cảnh Báo Thị Trường Tiền Mã Hóa Có Thể Đối Mặt Với Đợt Điều Chỉnh Đau Đớn Vào Năm 2026
