Вы думали, Linux – это безопасно? Смешно. Хакеры теперь выпускают обновления вместо авторов

Еще недавно мошенникам приходилось пробиваться в Snap Store практически в лоб. Они заводили новые аккаунты, выкладывали поддельные приложения и надеялись, что автоматические фильтры и модерация не заметят подвох сразу. Теперь схема стала заметно опаснее. Злоумышленники научились захватывать учетные записи вполне легитимных разработчиков и подсовывать вредоносные обновления туда, где пользователи годами привыкли доверять.

Речь про Snap Store, магазин приложений Canonical для Linux. Пакеты snap представляют собой сжатые, криптографически подписанные и «откатываемые» сборки для десктопов, серверов и встраиваемых устройств. Публиковать их может практически любой желающий, и в магазине уже тысячи пакетов от сотен разработчиков.

Об этой проблеме снова заговорил разработчик и бывший сотрудник Canonical Алан Поуп, который поддерживает десятки пакетов в Snap Store и параллельно развивает инструменты для анализа безопасности ПО. Он создал проект SnapScope. Изначально это был сервис, который строит SBOM для snap-пакетов и прогоняет их через сканер уязвимостей, чтобы находить устаревшие зависимости и потенциальные риски. Но в процессе мониторинга всплыла знакомая тема, вредоносные приложения продолжают проникать в магазин, а иногда живут там достаточно долго, чтобы успеть собрать жертв.

Самый частый «приманочный» сценарий связан с криптокошельками. Подделки маскируются под известные бренды вроде Exodus, Ledger Live или Trust Wallet и просят пользователя ввести seed-фразу для восстановления кошелька. Дальше данные уходят на сервер злоумышленников, приложение показывает ошибку, а когда человек понимает, что его обманули, средства уже могут быть выведены.

По словам исследователя, администрация Snap Store пытается сдерживать поток таких публикаций, но это классическая игра в кошки-мышки. Мошенники меняют тактики. Сначала они просто делали убедительные страницы в магазине и добавляли правдоподобные скриншоты. Затем начали обходить текстовые фильтры похожими символами из других алфавитов, чтобы название выглядело правильным, но формально отличалось. Позже появилась схема «приманка и подмена», когда публикуется безобидный пакет под случайным именем, проходит проверку, а следующей ревизией в него «вкатывают» фальшивый кошелек.

При разборе таких пакетов исследователь заметил повторяющуюся инфраструктуру. Приложения при запуске обращались к домену togogeo.com по URL, который выглядел как проверка соединения. Если сайт недоступен, «кошелек» отказывается работать, что логично для атакующих, без доступа в интернет украденные данные не отправить. Раньше ответ сервера, судя по описанию, выдавал слишком много деталей, включая упоминание уведомления в Telegram и никнейм, после чего автор заметки пишет, что злоумышленники «прикрыли» утечку и оставили в ответе лишь символ.

Но самый неприятный поворот связан не с обфускацией и подменами, а с захватом чужой репутации. Мошенники начали отслеживать учетные записи издателей в Snap Store, привязанные к доменам, срок регистрации которых истек. Дальше они регистрируют освободившийся домен на себя, инициируют сброс пароля в Snap Store и получают контроль над аккаунтом разработчика. В результате в руках злоумышленников оказывается не свежесозданный профиль, а «старый добрый» издатель с историей и уже установленными у пользователей приложениями. После этого можно выпустить обновление, которое выглядит как обычная новая версия знакомого пакета, но внутри окажется вредоносный код.

Автор расследования утверждает, что так уже пострадали как минимум два домена, storewise.tech и vagueentertainment.com, и допускает, что подобных случаев больше. Опасность здесь в том, что одна из немногих привычных подсказок для пользователя, «давность» и «надежность» издателя, перестает работать. Теоретически вредоносное обновление может прилететь даже в пакет, который вы установили несколько лет назад и ни разу не подозревали в проблемах.

Какие выводы из этого следуют на практике. Разработчикам snap-пакетов стоит внимательно следить за регистрацией доменов, которые используются в качестве контактных адресов, и включать двухфакторную аутентификацию, если она доступна. Пользователям же разумно относиться к криптокошелькам как к зоне повышенного риска и по возможности устанавливать такие приложения только из официальных источников проекта. Если в Snap Store попадается подозрительное приложение, лучше сразу отправлять жалобу через ссылку Report this app на странице пакета, потому что сейчас именно скорость реакции сообщества часто решает, сколько людей успеют обмануть.