慢雾揭露Linux Snap Store中针对加密钱包助记词的新型攻击手法

区块链安全公司慢雾(SlowMist)近日发出警告，发现了一种基于Linux的新型攻击方式。该攻击通过Snap Store分发的受信任应用程序窃取用户的加密货币助记词，对用户资产安全构成严重威胁。

慢雾首席信息安全官23pds在X平台的一则帖子中表示，攻击者利用已过期的域名劫持长期运营的Snap Store发行者账户，并通过官方渠道分发带有恶意更新的应用程序。

据透露，这些被篡改的应用程序伪装成包括Exodus、Ledger Live和Trust Wallet在内的知名加密钱包，界面高度模仿正版软件，极具欺骗性。

用户在安装或更新此类恶意应用后，会被要求输入钱包助记词，从而导致攻击者窃取凭证并转移资金。受害者往往在不知情的情况下便已遭受攻击。

来源:23pds

攻击者利用过期域名劫持Snap Store发行者账户

Snap Store是Linux系统的官方应用商店，用于分发基于“snap”格式封装的软件，通常被视为Linux领域对应于macOS的苹果App Store或Windows的微软商店。

慢雾指出，此次攻击的核心在于监控与已过期但曾属于合法发行者的域名相关联的Snap Store开发者账户。

当域名到期后，攻击者可重新注册，并通过与域名绑定的邮箱重置Snap Store账户凭证，从而悄无声息地掌控已有下载历史和用户的成熟发行者账户。

慢雾高管强调，这一过程使攻击者能够通过日常软件更新注入恶意代码，而无需用户重新下载安装。

慢雾确认，目前至少有两个发行者域名“storewise[.]tech”和“vagueentertainment[.]com”已被攻击者利用该手段攻陷，相关账户下的应用已被篡改成知名加密钱包的伪装品。

供应链攻击激增，加密货币攻击手法日趋复杂

Snap Store攻击手法反映了加密领域威胁的更广泛转变。攻击者正越来越多地针对基础设施和分发渠道，而非智能合约代码本身。

CertiK与Cointelegraph分享的数据显示，2025年加密货币被盗总损失达到了33亿美元，尽管单个事件数量显著下降。

CertiK指出，损失正逐步集中在更少但破坏性更强的供应链攻击上，仅两起事件便造成了14.5亿美元的损失。

这一趋势表明，随着协议层安全性提升，攻击者正转向影响更大的手法，利用信任关系、软件更新及第三方基础设施发起攻击。