В SlowMist обнаружили «атаку будущего» в магазине Linux
В рамках новой атаки злоумышленники используют доверие к официальному магазину Snap Store на Linux для кражи сид-фраз криптокошельков. Об этом сообщил глава информационной безопасности SlowMist под ником 23pds.
Linux用户注意:Snap Store爆发新型攻击,过期域名变黑客后门盗取用户加密资产。
— 23pds (山哥) (@im23pds) January 21, 2026
篡改的应用伪装成 Exodus、Ledger Live 或 Trust Wallet 等知名加密钱包,诱导用户输入“钱包恢复助记词”,导致资金被盗。https://t.co/PaHiXCbfUU
В рамках атаки киберпреступники регистрируют просроченные домены, связанные с аккаунтами разработчиков в Snap Store. Таким образом они незаметно получают контроль над учетными записями с историей и активными пользователями.
Далее мошенники рассылают через официальные каналы обновления уже установленного на устройства жертв ПО, содержащие вредоносный код.
Скомпрометированные приложения маскируются под популярные криптокошельки — Exodus, Ledger Live и Trust Wallet — и предлагают пользователям ввести мнемоническую фразу для восстановления, которая затем пересылается атакующим.
По данной схеме взломаны два домена — «storewise[.]tech» и «vagueentertainment[.]com», подтвердили в SlowMist.
Вектор описанной специалистами атаки отражает общий сдвиг в киберугрозах для криптоиндустрии. Вместо прямых попыток компрометации смарт-контрактов злоумышленники все чаще нацеливаются на инфраструктуру и каналы распространения ПО, наживаясь на доверии пользователей к официальным источникам.
В конце декабря хакеры внедрили вредоносный код в обновление Trust Wallet для Chrome. Атака затронула 2520 адресов и привела к потерям на $8,5 млн.
Как выяснилось позднее, причиной взлома стала масштабная атака на цепочку поставок Sha1-Hulud, зафиксированная еще в ноябре. Тогда хакеры получили доступ к секретным данным разработчиков на GitHub и API-ключу магазина Chrome Web Store.
Напомним, в 2025 году хакеры похитили криптовалюты на сумму более $3,4 млрд, выяснили в Chainalysis.