區塊鏈安全公司 SlowMist 警告一種新的基於 Linux 的威脅,該威脅通過利用在 Snap Store 上分發的可信應用來攻擊加密恢復短語。該公司指出,攻擊者正劫持長期存在的 Snap Store 發布商帳戶,並通過官方分發渠道推送惡意錢包更新,這使得長期使用 Linux 的用戶面臨風險。
在 X 平台的一篇貼文中,SlowMist 首席資訊安全官 23pds 表示,攻擊者濫用與合法 Snap Store 發布商相關的過期域名。在重新控制這些域名後,攻擊者重設帳戶憑證,接管可信開發者帳戶,並發布偽裝成錢包軟體更新的惡意軟體。這一策略賦予攻擊者一個危險的優勢:用戶通常信任來自知名發布商的更新,並在未加懷疑的情況下安裝。
一旦惡意應用到達受害者系統,它們會提示用戶輸入加密錢包的恢復短語。之後,惡意軟體會竊取這些短語,使攻擊者能迅速清空錢包,常在受害者察覺異常之前完成。
Snap Store 是 Linux 的官方應用商店,用於分發打包為“snap”的軟體。許多用戶將其視為可信來源,就像 App Store 或 Microsoft Store 一樣,因為它提供經過驗證的發布商、便捷的更新和集中式分發。
SlowMist 表示,攻擊者正針對與過期域名相關聯的發布商帳戶。一旦域名過期,犯罪分子可以重新註冊並獲取與域名相關的電子郵件地址。從那裡,他們可以啟動密碼重設,並控制 Snap Store 的開發者帳戶。
這種方法使攻擊者能夠攻破具有活躍用戶和現有下載記錄的發布商。與其依賴受害者下載惡意新應用,他們更傾向於將惡意軟體注入到正常的更新中。這種供應鏈策略提高了成功率,因為用戶更可能接受更新而不會檢查所有變更。
SlowMist 已識別出至少兩個與被攻佔的發布商帳戶相關的域名:“storewise[.]tech”和“vagueentertainment[.]com”。一旦攻擊者劫持帳戶,他們據稱會利用這些應用模仿流行的加密錢包品牌。
根據 SlowMist,受影響的 Snap Store 應用是流行錢包應用如 Exodus、Ledger Live 和 Trust Wallet 的克隆版本。攻擊者使用與正規應用界面高度相似的界面,增加可信度並降低懷疑。
這些應用在安裝或更新後,會要求用戶輸入錢包恢復短語,目的是進行錢包設置、同步或帳戶驗證。在用戶提供恢復短語後,攻擊者可以利用該短語恢復錢包並迅速轉移資金,無需進一步存取受害者設備。
這種方法仍然非常有效,因為種子短語提供了對資產的完全控制權。即使是最強的密碼和設備安全,也無法在攻擊者掌握恢復短語後保護資金。
Snap Store 的事件是加密安全中一個更大趨勢的一部分,攻擊者正從利用協議轉向破壞基礎設施。攻擊不再僅限於直接攻擊智能合約,而是越來越多地針對可信軟體分發系統、更新渠道和第三方服務提供商。
CertiK 在 2025 年與媒體分享的數據顯示,加密黑客損失達到 33 億美元,儘管事件數量有所下降。根據 CertiK,損失更集中在較少但更嚴重的供應鏈事件中,僅兩起重大事件就造成 14.5 億美元的損失。
這一趨勢表明,攻擊者正優化規模與影響力。隨著 DeFi 智能合約安全的提升,攻擊者將目標轉向較弱的環節,包括應用、發布商和更新基礎設施,信任成為最大漏洞。
對於持有加密資產的 Linux 用戶,下載和更新錢包軟體時必須格外小心。用戶需要驗證發布商身份,檢查官方下載來源,並避免在不熟悉的平台輸入恢復短語。安全團隊也應密切監控 Snap Store 上的刊登內容,尤其是在發布商所有權突然變更時。
從 SlowMist 警示中可以清楚看到:當前最大的危險往往來自可信來源,而非明顯的釣魚詐騙。
重點加密新聞:
Tom Lee 警告加密市場可能在 2026 年面臨痛苦的修正
