SlowMist lancia l’allarme: attacco nello Snap Store di Linux colpisce app wallet per criptovalute

SlowMist, società specializzata in sicurezza blockchain, ha segnalato un nuovo vettore di attacco su sistemi Linux che sfrutta applicazioni considerate attendibili distribuite tramite il Snap Store per sottrarre le frasi di recupero dei portafogli crittografici.

Secondo la segnalazione del responsabile della sicurezza informatica di SlowMist, noto con l’alias 23pds, gli aggressori stanno riutilizzando domini scaduti per prendere il controllo di account di editori storici del Snap Store e distribuire aggiornamenti malevoli attraverso i canali ufficiali.

Le applicazioni compromesse imitano interfacce di portafogli noti come Exodus, Ledger Live e Trust Wallet, inducendo gli utenti, dopo l’installazione o l’aggiornamento, a inserire le proprie frasi di recupero, che vengono quindi esfiltrate per svuotare i fondi senza che la vittima se ne accorga.

Meccanismo dell’attacco

Il vettore sfrutta una debolezza procedurale: sono presi di mira account sviluppatore collegati a domini internet che, una volta scaduti, possono essere ri-registrati da terzi. Riacquisito il dominio, gli aggressori possono usare indirizzi email associati per reimpostare le credenziali degli account sul Snap Store e assumere il controllo degli spazi di pubblicazione.

Da account già consolidati, con cronologia di download e utenza attiva, è possibile distribuire codice malevolo attraverso aggiornamenti ordinari invece che tramite nuove installazioni, rendendo l’operazione più discreta e insidiosa.

SlowMist ha indicato in particolare la compromissione di due domini che erano stati associati a editori legittimi: storewise.tech e vagueentertainment.com, i cui pacchetti sono stati alterati per impersonare noti portafogli crittografici.

Applicazioni compromesse e modalità di furto

Le applicazioni malevole replicano fedelmente l’aspetto dei software autentici, una tecnica di spoofing dell’interfaccia che facilita la raccolta delle frasi di recupero mediante prompt apparentemente legittimi.

Una volta ottenute le credenziali, gli aggressori esfiltrano le informazioni e procedono al trasferimento dei beni digitali verso portafogli sotto il loro controllo, senza generare segnali evidenti che possano immediatamente allertare l’utente medio.

Impatto e tendenza degli attacchi alla supply chain

Questo tipo di operazione rientra nella crescente tendenza ad attaccare la catena di distribuzione del software piuttosto che il codice dei singoli smart contract: compromettendo canali fidati, gli aggressori ottengono un impatto maggiore con minore visibilità.

Dati di analisi settoriali mostrano che le perdite complessive legate ad attacchi nel settore cripto sono state significativamente elevate in anni recenti, con le somme concentrate in pochi episodi di grande entità che coinvolgono infrastrutture e fornitori terzi.

La dinamica suggerisce che, mentre la sicurezza a livello di protocollo migliora, gli attori malintenzionati indirizzano sempre più gli sforzi verso relazioni di fiducia, aggiornamenti software e servizi di terze parti.

Raccomandazioni per utenti e publisher

Agli utenti si raccomanda di non inserire mai le frasi di recupero in applicazioni o pagine web non ufficiali; di preferire soluzioni hardware di storage per le chiavi private e di verificare attentamente la provenienza delle app e degli aggiornamenti consultando i canali ufficiali degli sviluppatori.

Gli editori e i manutentori di pacchetti dovrebbero adottare misure preventive: proteggere e rinnovare tempestivamente i domini associati agli account, abilitare l’autenticazione a più fattori sugli account di pubblicazione, firmare digitalmente le build e implementare una procedura di verifica e monitoraggio delle modifiche al codice distribuito.

Le piattaforme di distribuzione, infine, hanno la responsabilità di migliorare i controlli su chi può pubblicare aggiornamenti a pacchetti consolidati, inserendo verifiche aggiuntive quando le informazioni di dominio o di contatto cambiano.

Conclusioni

La vicenda evidenzia come la sicurezza del software non si limiti al codice sorgente: la protezione delle identità digitali, dei domini e dei canali di distribuzione è essenziale per difendere gli asset crittografici. Una strategia efficace richiede cooperazione tra sviluppatori, store e utenti finali per ridurre la superficie d’attacco e mitigare rischi di alto impatto.