- Хакеры выкупают просроченные домены, указанные в email зарегистрированных разработчиков приложений Snap Store.
- Злоумышленники получают доступ к учётным записям через процедуру восстановления забытого пароля и размещают вредоносные обновления в доверенных приложениях.
- Canonical пока не реализовала проверку актуальности доменных имён в email-адресах, в отличие от PyPI, который уже ввёл дополнительные меры защиты.
Известный специалист в области информационной безопасности, бывший менеджер Canonical по инженерным процессам и взаимодействию с сообществом Алан Поуп, обнаружил новую схему атак на пользователей каталога приложений Snap Store. Злоумышленники приобретают просроченные домены, указанные в почтовых адресах зарегистрированных разработчиков snap-пакетов. Получив контроль над этими доменами, они перенаправляют связанный почтовый трафик на свои серверы и инициируют процедуру сброса пароля, используя функцию восстановления доступа к учётной записи.
Захватив аккаунты разработчиков, хакеры размещают вредоносные обновления в ранее доверенных приложениях. Такой способ позволяет им обходить расширенные проверки, введённые для новых участников платформы, и избегать предупреждающих меток безопасности. Алан Поуп выявил минимум два домена — enstorewise.tech и vagueentertainment.com — которые злоумышленники использовали для подмены учётных записей.
Подобная тактика представляет собой эволюцию прошлых атак, когда злоумышленники регистрировали новые аккаунты и размещали вредоносные пакеты с похожими, но слегка изменёнными названиями (тайпсквоттинг). В ответ Canonical ввела ручную проверку новых имён пакетов в Snap Store, что вынудило хакеров переходить к размещению вредоносных обновлений в оригинальных пакетах с попыткой обойти автоматические проверки.
На сегодняшний день в экосистеме Snap Store отсутствует механизм верификации актуальности доменов, используемых в email-адресах разработчиков, что предоставляет хакерам возможность выкупать устаревшие домены и перехватывать почтовую переписку. Для сравнения, во время аналогичных проблем с PyPI, популярным репозиторием для Python, уже были внедрены меры по автоматическому помечанию email с просроченными доменами как неподтверждённых. Кроме того, в августе 2025 года PyPI представил инструменты защиты против атак восстановления домена, направленные на предотвращение захвата учётных записей через сброс пароля.
Стоит отметить, что в профилактике последствий атаки на цепочку поставок GhostAction в начале сентября 2025 года Python Software Foundation аннулировала все украденные токены PyPI, подтвердив, что злоумышленникам не удалось публиковать вредоносное ПО, используя краденые данные.
Таким образом, ситуация с безопасностью Snap Store подчёркивает важность контроля актуальности доменных имён в электронной почте разработчиков и внедрения дополнительных механизмов защиты, чтобы предотвратить возможность перехвата учётных записей и распространения вредоносного кода через доверенные приложения.
