Linux 用户注意：Snap Store 爆发新型攻击，过期域名成黑客后门

前 Canonical 员工、资深社区成员 Alan Pope 于 1 月 17 日发出严厉警告，指出 Canonical（热门发行版 Ubuntu 背后公司）运营的 Linux Snap 商店正面临一种新型供应链攻击。

Alan Pope 目前维护近 50 个 Snap 应用，他在博文中揭露了一项令人担忧的新趋势：攻击者正在利用平台机制漏洞，将长期存在的“良民”应用转化为恶意软件。

早期的攻击多依赖创建新账号并伪造逼真的应用页面，容易被识别。然而，现在的攻击者转而监控 Snap 商店中关联域名已过期的开发者账号。

一旦发现目标域名失效，攻击者便立即将其注册，随后利用该域名的邮箱在 Snap Store 触发密码重置，从而兵不血刃地接管已建立长期信誉的发布者身份。这意味着，用户几年前安装且一直信任的合法软件，可能在一夜之间被黑客通过官方更新通道植入恶意代码。

援引博文介绍，目前已确认 storewise.tech 和 vagueentertainment.com 两个发布者域名通过此方法遭劫持。被篡改的应用通常会伪装成 Exodus、Ledger Live 或 Trust Wallet 等知名加密钱包，其界面与正版几乎没有差别。

应用启动后会先连接远程服务器验证网络，随即诱导用户输入“钱包恢复助记词”。用户一旦提交，这些敏感信息会即刻传至攻击者服务器，导致资金被盗。由于利用了旧有的信任关系，此类攻击往往在受害者察觉前就已得手。

尽管 Canonical 会在接到举报后移除恶意应用，但 Pope 指出执法往往滞后于发现，恶意更新在被下架前通常已有足够时间侵害用户。

对此，安全专家提出了双向建议：开发者务必确保域名续费及时并开启双重验证（2FA）以锁定账号权限；对于普通用户，尤其是涉及加密货币资产时，应彻底摒弃通过应用商店安装钱包软件的习惯，转而直接从项目官方网站获取安装包，以规避此类供应链风险。