区块链安全公司 SlowMist 发现了一种基于 Linux 的新威胁,该威胁通过利用通过 Snap Store 分发的受信任应用程序来针对加密恢复短语。该公司警告称,攻击者正在劫持长期存在的 Snap Store 发布者账户,并通过官方分发渠道推送恶意钱包更新,使长期使用 Linux 的用户面临风险。
SlowMist 的首席信息安全官 23pds 在 X 上发帖称,攻击者正在滥用与 Snap Store 合法发布者相关的过期域名。在重新控制这些域名后,攻击者重置账户凭据,接管受信任的开发人员账户,并发布伪装成钱包软件更新的恶意软件。这种策略使攻击具有危险的优势:用户通常信任来自老牌发布者的更新,并在没有怀疑的情况下安装它们。
一旦恶意应用程序进入受害者的系统,它们会提示用户输入加密钱包的恢复短语。然后,恶意软件会窃取这些短语,使攻击者能够迅速清空钱包,而这通常发生在受害者意识到问题之前。
攻击者利用过期域名劫持 Snap Store 发布者
Snap Store 是 Linux 的官方应用商店,用于分发打包为“snap”的软件。它被许多用户视为可信来源,就像 App Store 或 Microsoft Store 一样,因为它提供经过验证的发布者、简单的更新和集中分发。
SlowMist 表示,攻击者正在针对与已过期域名绑定的发布者账户。一旦域名过期,犯罪分子可以重新注册它,并获取与域名关联的电子邮件地址的访问权限。从那里,他们可以发起密码重置并夺取 Snap Store 开发人员账户的控制权。
这种方法使攻击者能够危害拥有活跃用户和现有下载历史的发布者。他们不是依赖受害者下载恶意的全新应用程序,而是将恶意软件注入常规更新中。这种供应链策略提高了成功率,因为用户更有可能接受更新,而不会检查所有更改。
SlowMist 已识别出至少两个与受感染的发布者账户相关的域名:“storewise[.]tech”和“vagueentertainment[.]com”。一旦攻击者劫持了这些账户,他们据称使用这些应用程序来冒充流行的加密钱包品牌。
虚假钱包应用程序模仿受信任品牌
据 SlowMist 称,受影响的 Snap Store 应用程序是诸如 Exodus、Ledger Live 和 Trust Wallet 等流行钱包应用程序的克隆版。攻击者使用与合法应用程序非常相似的用户界面,这增加了可信度并减少了怀疑。
这些应用程序在安装或更新后,会要求用户输入其钱包恢复短语,目的是进行钱包设置、同步或账户验证。用户提供钱包恢复短语后,攻击者可以使用此短语恢复钱包并清空其资金,而无需进一步访问受害者的设备。
这种方法仍然非常有效,因为种子短语提供了对资产的完全控制。一旦黑客拥有恢复短语,即使是最强的密码和设备安全也无法保护资金。
供应链黑客攻击造成更大损害
Snap Store 的事件是加密安全领域更大趋势的一部分,攻击者正从利用协议转向破坏基础设施。犯罪分子不再直接攻击智能合约,而是越来越多地针对受信任的软件分发系统、更新渠道和第三方服务提供商。
CertiK 在 12 月与媒体分享的数据显示,尽管事件数量有所下降,但 2025 年加密黑客造成的损失达到了 33 亿美元。根据 CertiK 的说法,损失更集中在更少但更严重的供应链事件中,仅两起重大事件就造成了 14.5 亿美元的损失。
这一趋势表明,攻击者正在优化规模和影响。随着 DeFi 在智能合约层面安全性的提高,攻击者将目标对准了最薄弱的环节:应用程序、发布者和更新基础设施,在这些地方,信任是最大的漏洞。
用户接下来应注意什么?
对于持有加密资产的 Linux 用户来说,钱包软件的下载和更新过程必须格外小心。用户需要验证发布者的身份,检查官方下载来源,并避免在不熟悉的平台上输入恢复短语。安全团队可能还需要更密切地监控 Snap Store 的列表,尤其是在发布者所有权发生突然变化时。
SlowMist 警报的要点很明确:最大的危险现在往往来自可信的来源,而不是明显的网络钓鱼诈骗。
重点加密新闻:
Tom Lee 警告加密市场可能在 2026 年面临痛苦的调整
