В каталоге приложений Snap Store, сопровождаемом компанией Canonical и продвигаемом для использования в Ubuntu, выявлено 10 приложений, стилизованных под официальные клиенты для популярных криптовалютных кошельков, но на деле не имеющие отношения к разработчикам данных проектов и выполняющие вредоносные действия. Более того, в каталоге данные приложения снабжены меткой "Safe", которая создаёт иллюзию того, что приложение проверено и является безопасным.
Приложения опубликованы пользователем digisafe00000 под именами, подобными "exodus-build-96567", но в списке приложений выглядят как обычные криптовалютные приложения Exodus, Tronlink, Polygon, Electrum, Uniswap, Ladger, Metamask, JaxxLiberty, Avalanche и Trustwallet.
В настоящее время указанные приложения уже удалены из каталога Snap Store, но почти сразу после их удаления они были размещены заново под новым пользователем codeguard0x0000 c немного изменёнными именами пакетов (например, "exodus-build-71776" и "metamask-stable28798").
Похожая активность наблюдалась в феврале и привела к краже около 9 биткойнов (примерно 500 тысяч долларов) у пользователя, установившего поддельный клиент Exodus. Так как авторы вредоносных приложений легко обходят автоматическую систему проверки публикуемых пакетов в форуме компании Canonical некоторые участники предлагают вообще запретить в Snap Store публикацию неверифицированных приложений, связанных с криптовалютой, по аналогии с тем, как в 2022 году в платформе совместной разработки SourceHut была запрещена публикация криптовалютных проектов.
Приложения представляют собой муляжи, выводящие web-страницы с внешнего сайта (например, http://89.116.xxx.145:5000/public/exodus/index.html) при помощи обёртки на базе WebKit GTK, симулирующей работу обычного настольного приложения (в февральском инциденте использовались фиктивные приложения, написанные на Flutter). Из функций работает только операция импортирования ключей и восстановления кошелька, а попытки создания нового кошелька завершаются выводом ошибки.
В случае если пользователь выполнит операцию импорта уже существующего кошелька, то связанные с ним фраза восстановления ключей отправляется на сервер злоумышленников, а пользователю показывается сообщение об ошибке восстановления кошелька. Получив доступ к ключам атакующие затем выводят все средства с кошелька жертвы.
Приложения опубликованы пользователем digisafe00000 под именами, подобными "exodus-build-96567", но в списке приложений выглядят как обычные криптовалютные приложения Exodus, Tronlink, Polygon, Electrum, Uniswap, Ladger, Metamask, JaxxLiberty, Avalanche и Trustwallet.
В настоящее время указанные приложения уже удалены из каталога Snap Store, но почти сразу после их удаления они были размещены заново под новым пользователем codeguard0x0000 c немного изменёнными именами пакетов (например, "exodus-build-71776" и "metamask-stable28798").
Похожая активность наблюдалась в феврале и привела к краже около 9 биткойнов (примерно 500 тысяч долларов) у пользователя, установившего поддельный клиент Exodus. Так как авторы вредоносных приложений легко обходят автоматическую систему проверки публикуемых пакетов в форуме компании Canonical некоторые участники предлагают вообще запретить в Snap Store публикацию неверифицированных приложений, связанных с криптовалютой, по аналогии с тем, как в 2022 году в платформе совместной разработки SourceHut была запрещена публикация криптовалютных проектов.
Приложения представляют собой муляжи, выводящие web-страницы с внешнего сайта (например, http://89.116.xxx.145:5000/public/exodus/index.html) при помощи обёртки на базе WebKit GTK, симулирующей работу обычного настольного приложения (в февральском инциденте использовались фиктивные приложения, написанные на Flutter). Из функций работает только операция импортирования ключей и восстановления кошелька, а попытки создания нового кошелька завершаются выводом ошибки.
В случае если пользователь выполнит операцию импорта уже существующего кошелька, то связанные с ним фраза восстановления ключей отправляется на сервер злоумышленников, а пользователю показывается сообщение об ошибке восстановления кошелька. Получив доступ к ключам атакующие затем выводят все средства с кошелька жертвы.