A empresa de segurança blockchain SlowMist sinalizou um novo vetor de ataque no Linux que explora aplicativos confiáveis distribuídos pela Snap Store para roubar as frases-semente de recuperação de criptomoedas dos usuários.
Em uma publicação no X, o diretor de segurança da informação da SlowMist, 23pds, disse que invasores estão abusando de domínios expirados para sequestrar contas antigas de publishers na Snap Store e distribuir atualizações maliciosas por canais oficiais.
Segundo relatos, os aplicativos comprometidos se passam por carteiras populares, incluindo Exodus, Ledger Live e Trust Wallet, usando interfaces que se parecem muito com softwares legítimos.
Depois de instalados ou atualizados, os apps maliciosos solicitam que os usuários insiram frases de recuperação da carteira, permitindo que os invasores exfiltrem as credenciais e drenem os fundos sem que os usuários percebam que foram comprometidos.
Invasores usam domínios expirados para sequestrar publishers na Snap Store
A Snap Store é a loja oficial de aplicativos do Linux usada para distribuir softwares empacotados em um formato chamado “snaps”. Ela costuma ser considerada o equivalente, no Linux, à App Store da Apple no macOS e à Microsoft Store no Windows.
A SlowMist disse que o ataque se baseia em monitorar contas de desenvolvedores na Snap Store vinculadas a domínios que expiraram, mas que anteriormente estavam associados a publishers legítimos.
Quando um domínio expira, invasores podem registrá-lo novamente e usar endereços de e-mail ligados ao domínio para redefinir credenciais de contas na Snap Store.
O executivo da SlowMist afirmou que o processo permite que invasores assumam silenciosamente o controle de contas consolidadas de publishers, com histórico de downloads e usuários ativos. A partir daí, o código malicioso pode ser distribuído por meio de atualizações rotineiras de software, em vez de novas instalações.
A SlowMist confirmou que dois domínios de publishers, “storewise[.]tech” e “vagueentertainment[.]com”, foram comprometidos usando esse vetor de ataque. Segundo relatos, os aplicativos ligados às contas foram modificados para se passar por carteiras de criptomoedas conhecidas.
Ataques à cadeia de suprimentos crescem à medida que explorações em cripto ficam mais sofisticadas
O vetor de ataque na Snap Store se alinha a uma mudança mais ampla nas ameaças relacionadas a criptomoedas, já que invasores estão cada vez mais mirando infraestrutura e canais de distribuição, em vez de código de contratos inteligentes.
Dados da CertiK compartilhados com o Cointelegraph em dezembro mostraram que as perdas totais com hacks em cripto chegaram a US$ 3,3 bilhões em 2025, apesar de uma queda acentuada no número de incidentes individuais.
A CertiK disse que as perdas se concentraram em menos ataques, porém mais danosos, de cadeia de suprimentos, que responderam por US$ 1,45 bilhão em perdas em apenas dois incidentes.
A tendência sugere que, à medida que a segurança em nível de protocolo melhora, invasores estão migrando para táticas de maior impacto que exploram relações de confiança, atualizações de software e infraestrutura de terceiros.
