SlowMist révèle une attaque sur Linux Snap Store ciblant les phrases de récupération de portefeuille crypto

Points clés :

• Un nouveau vecteur de menace sur Linux Snap Store exploite des applications de confiance pour cibler les phrases de récupération de portefeuille crypto.
• Les attaquants utilisent des domaines expirés pour détourner les comptes d'éditeurs, permettant la distribution de mises à jour malveillantes.
• La menace se concentre sur le vol des identifiants des utilisateurs en usurpant l'identité de portefeuilles crypto populaires comme Exodus, Ledger Live et Trust Wallet.
• L'incident souligne une tendance croissante à cibler l'infrastructure et la distribution crypto plutôt que les codes de smart contract.
• Les impacts de ces attaques sont profonds, comme le montre une concentration significative des pertes dues aux attaques de la chaîne d'approvisionnement.

WEEX Crypto News, 2026-01-22 07:42:53

Introduction à l'attaque sur Linux Snap Store

Dans une révélation sans précédent, la société de sécurité SlowMist a exposé une stratégie d'attaque sophistiquée ciblant les utilisateurs de Linux Snap Store. Ce schéma est particulièrement périlleux car il capitalise sur la confiance accordée aux applications populaires pour fournir des mises à jour nuisibles destinées à voler les phrases de récupération de cryptomonnaie. Les phrases de récupération sont essentielles pour accéder aux portefeuilles crypto ; par conséquent, leur sécurisation est primordiale.

L'attaque basée sur Linux a été identifiée comme exploitant des applications distribuées via Snap Store, qui fonctionne comme l'équivalent de l'App Store d'Apple ou du Store de Microsoft, mais dédié aux utilisateurs de Linux. Une telle approche permet l'exécution d'activités malveillantes sous couvert d'applications logicielles légitimes, rendant la détection particulièrement difficile.

Le mécanisme de l'attaque

Le vecteur employé par les attaquants implique le détournement d'éditeurs de confiance de Snap Store via la vulnérabilité des domaines expirés. Ce processus commence par la surveillance des domaines liés aux comptes de développeurs sur Snap Store. Une fois que ces domaines expirent, les attaquants les réenregistrent. Cette manipulation permet aux cybercriminels de réinitialiser les identifiants de compte liés à ces domaines, facilitant l'accès non autorisé aux comptes d'éditeurs existants.

Avec le contrôle de ces comptes de confiance et de leurs historiques de téléchargement établis, les attaquants peuvent distribuer de manière transparente des mises à jour logicielles malveillantes à la base d'utilisateurs peu méfiants. Notamment, les applications modifiées dans le cadre de ce schéma sont conçues pour usurper l'identité de portefeuilles crypto de confiance tels qu'Exodus, Ledger Live et Trust Wallet.

Lors de l'installation d'une mise à jour compromise, les utilisateurs sont invités à saisir leurs phrases de récupération de portefeuille. Cette incitation à soumettre des identifiants critiques fournit les informations nécessaires aux attaquants pour accéder aux comptes crypto et les vider, souvent sans que l'utilisateur ne remarque la brèche avant qu'il ne soit trop tard.

La portée et l'impact de la menace

Ce qui rend cette menace particulièrement malveillante est sa capacité à opérer de manière invisible. En utilisant des interfaces d'apparence légitime pour masquer des intentions malveillantes, les attaquants ont effectivement concocté une méthode qui exploite la confiance des utilisateurs dans les applications établies.

SlowMist a identifié deux domaines spécifiques — “storewise[.]tech” et “vagueentertainment[.]com” — comme étant compromis par cette méthode. Cet incident souligne le changement de paradigme plus large dans la manière dont les attaquants ciblent les infrastructures liées à la crypto.

Dans le paysage évolutif des cybermenaces, la sécurité au niveau des protocoles s'est considérablement améliorée. Par conséquent, les attaquants pivotent leur attention vers l'infrastructure de distribution elle-même — une approche reflétant une tendance croissante en cybersécurité, communément appelée attaques de la chaîne d'approvisionnement.

La montée des attaques de la chaîne d'approvisionnement

Les attaques de la chaîne d'approvisionnement infiltrent le processus de livraison de logiciels, un peu comme un virus exploite des voies d'accès dans le corps. Ici, les attaquants assaillent les réseaux de distribution plutôt que les contenus numériques eux-mêmes, rendant les mesures de sécurité traditionnelles moins efficaces.

Les données de CertiK, partagées en décembre, soulignent ce changement alarmant : bien que le nombre d'incidents de piratage individuels ait diminué, les pertes totales dues au piratage ont atteint le chiffre stupéfiant de 3,3 milliards de dollars en 2025. Ces pertes étaient principalement associées aux attaques de la chaîne d'approvisionnement, représentant 1,45 milliard de dollars pour seulement deux incidents majeurs.

La tendance indique une évolution marquée des techniques d'exploitation crypto, où les brèches s'exécutent sur des relations de confiance, des mises à jour logicielles et des infrastructures tierces. Cette méthode est illustrée par le vecteur d'attaque de Snap Store, qui démontre que même des erreurs mineures dans la gestion des domaines peuvent précipiter de graves failles de sécurité.

Se protéger contre les exploits crypto

Pour les utilisateurs et les plateformes crypto, sécuriser l'infrastructure contre ces menaces sophistiquées est primordial. Étant donné que les attaquants ciblent les points faibles de la chaîne d'approvisionnement, le renforcement des mesures de sécurité dans ces domaines est critique.

Une étape cruciale consiste à garantir des protocoles stricts de gestion des domaines pour empêcher l'expiration des domaines, éliminant ainsi une vulnérabilité clé exploitée dans ces attaques. Les utilisateurs doivent rester vigilants face à toute invite ou demande inhabituelle de leurs applications crypto, en particulier celles exigeant des phrases de récupération sensibles ou d'autres informations critiques.

Discussions et développements actuels

Ces révélations ont suscité une conversation considérable sur diverses plateformes, notamment Twitter, sur la nécessité de mesures de sécurité plus fortes dans l'infrastructure crypto. Les utilisateurs du monde entier expriment leurs préoccupations concernant la nature évolutive des cybermenaces qui exploitent les mécanismes de confiance et la manière dont les plateformes peuvent s'en protéger.

Avec la sophistication croissante des cyberattaques, les discussions sont également fréquentes sur l'intégration potentielle des fonctionnalités de sécurité inhérentes à la blockchain dans des stratégies de cybersécurité plus larges — une fusion qui pourrait potentiellement atténuer les menaces futures.

Conclusion et perspectives

La découverte de ce vecteur d'attaque est un rappel crucial qu'à mesure que la technologie évolue, nos approches de la cybersécurité doivent également le faire. La confiance que les utilisateurs accordent aux applications et aux logiciels peut, malheureusement, être utilisée comme une arme, nécessitant une stratégie de défense dynamique et réactive.

Pour les plateformes crypto et les fournisseurs de portefeuilles, favoriser une culture de conscience de la sécurité et d'atténuation proactive des menaces est essentiel. Simultanément, les développements et les idées des sociétés de sécurité comme SlowMist doivent être intégrés de toute urgence dans les pratiques quotidiennes de cybersécurité pour prévenir et atténuer de telles brèches.

En conclusion, cette attaque représente une avancée significative dans l'arsenal des cybercriminels et sert de signal d'alarme pour l'ensemble de l'écosystème crypto afin de s'adapter et de renforcer ses défenses non seulement contre les attaques d'aujourd'hui, mais aussi contre celles qui viendront inévitablement à l'avenir.

FAQ

Qu'est-ce que l'attaque sur Linux Snap Store ?

L'attaque cible les utilisateurs de Linux Snap Store en détournant des applications légitimes pour distribuer des mises à jour malveillantes qui volent les phrases de récupération de cryptomonnaie.

Comment les attaquants exploitent-ils les domaines expirés dans ce scénario ?

Les attaquants réenregistrent des domaines expirés liés aux comptes d'éditeurs de Snap Store pour réinitialiser les identifiants et obtenir un accès non autorisé, leur permettant de pousser des mises à jour malveillantes.

Quels portefeuilles crypto ont été usurpés lors des attaques signalées ?

L'attaque a usurpé l'identité de portefeuilles crypto bien connus comme Exodus, Ledger Live et Trust Wallet pour inciter les utilisateurs à saisir leurs phrases de récupération.

Qu'implique la montée des attaques de la chaîne d'approvisionnement pour la sécurité crypto ?

Cela indique un glissement vers le ciblage de l'infrastructure et des canaux de distribution plutôt que des attaques directes sur le code, nécessitant des stratégies de défense avancées pour atténuer ces menaces sophistiquées.

Comment les utilisateurs peuvent-ils protéger leurs comptes crypto contre de telles attaques ?

Les utilisateurs doivent rester vigilants face aux invites inhabituelles dans leurs applications crypto et s'assurer que les mises à jour des applications proviennent d'éditeurs vérifiés et de confiance. Ils doivent également gérer les identifiants de domaine de manière sécurisée pour éviter l'exploitation d'un accès non autorisé.