Snap 商店提醒：了解 Linux 用戶應該知道的域名劫持攻擊

Linux 用戶在 Snap 商店面臨一個安全研究人員呼籲社群注意的複雜威脅。根據 SlowMist CISO 23pds 的說法，一種新的攻擊向量已經出現，黑客利用過期的開發者域名來入侵可信應用程式。這種方法尤其危險，因為它通過利用用戶多年來依賴的已建立的發布者可信度，繞過了傳統的安全檢查。

攻擊者如何入侵 Snap 商店中的開發者帳戶

攻擊始於威脅行為者監控其相關域名已過期的開發者帳戶。一旦他們識別出一個不活躍的域名，攻擊者迅速註冊該域名，然後使用新控制的域名的電子郵件地址在 Snap 商店中觸發密碼重置。這種直接但有效的技術使他們能夠接管長期建立信任的發布者身份。結果令人震驚：用戶多年前安裝並信任的合法應用程式，可能在一夜之間通過官方更新渠道被注入惡意程式碼，而大多數用戶完全未察覺。

已經有兩個案例證明此方法已被用於入侵：storewise[.]tech 和 vagueentertainment[.]com。這證明該攻擊並非理論上的，而是在實際環境中積極發生。

資格證盜取機制：你的錢包恢復短語是如何被盜的

一旦攻擊者控制了可信發布者身份，他們會部署一個複雜的社交工程載荷。被入侵的應用程式偽裝成合法的加密貨幣錢包——通常模仿 Exodus、Ledger Live 或 Trust Wallet。這些假版本幾乎與真實應用無法區分，使普通用戶難以察覺。

當用戶啟動惡意應用時，它首先與遠端伺服器建立連接，進行網路驗證，營造出正常的感覺。接著，它會提示用戶輸入「錢包恢復種子短語」以聲稱進行恢復。一旦用戶提交這個關鍵資訊，立即傳送到攻擊者的伺服器，使犯罪分子能完全掌控他們的加密貨幣資產。

這種攻擊特別有效的原因在於它利用了現有的信任關係。用戶曾經自願下載並安裝該應用，因此自然相信它是合法的。當受害者意識到資金已被盜走時，攻擊者早已轉移了資產。

為何你應該保持警覺面對這些新興威脅

這種攻擊模式反映了軟體分發渠道在域名生命周期管理上的根本漏洞。Snap 商店依賴電子郵件身份驗證，當開發者未能續約相關域名時，便形成了一個關鍵的弱點。安全研究人員強調，使用者需要了解這個威脅向量，因為意識是你的第一道防線。

其複雜性不在於技術駭入，而在於利用信任基礎本身。即使是安全意識較高的用戶，也可能成為受害者，因為攻擊看似來自官方渠道，且具有可信的發布者身份。

正如 23pds 所指出的，最令人不安的是，合法軟體可以在極短時間內被武器化。昨天還被信任的應用，今天就可能成為竊取憑證的工具，只需一次更新。