1 月 21 日,一则安全提示引发行业关注。安全研究人员指出,Linux 平台的 Snap Store 近期出现一种新型供应链攻击手法:攻击者通过接管过期域名,获得原本合法开发者账号的控制权,并借助官方更新通道向用户分发被篡改的应用,从而盗取加密资产。
攻击手法与技术路径
从披露的信息来看,攻击者的目标并非新注册的开发者账号,而是那些已经在 Snap Store 建立长期信誉、但其关联域名已过期的发布者。一旦发现域名失效,攻击者会立即将其重新注册,并利用该域名对应的邮箱在 Snap Store 触发密码重置流程,从而接管原有发布者身份。
这意味着,用户多年前安装且一直信任的合法软件,可能在一次“正常更新”后,被植入恶意代码,而整个过程仍发生在官方分发渠道内,极具隐蔽性。
伪装应用与受害路径
已确认的案例显示,部分被劫持的发布者账号所分发的应用,会伪装成常见的加密钱包客户端,在界面设计和交互上与正版几乎没有差别。应用启动后,程序会先与远程服务器通信以验证网络环境,随后诱导用户输入“钱包恢复助记词”。
一旦用户提交相关信息,这些高度敏感的数据会被立即传送至攻击者控制的服务器,攻击者可在极短时间内完成资产转移。由于利用了用户对官方商店和既有软件的信任,这类攻击往往在受害者察觉异常前就已造成实际损失。
供应链风险的现实启示
与传统钓鱼攻击不同,此类事件并不依赖虚假网站或恶意下载链接,而是直接发生在被普遍视为“安全”的应用分发体系内。这使得单纯依靠用户警惕性已难以完全防范风险,也暴露出软件供应链在加密资产安全中的关键地位。
对于机构和专业用户而言,事后对异常交易、可疑地址以及资金流向的分析,成为理解和评估损失范围的重要手段。在实践中,一些团队会结合 Trustformer KYT 等链上监测体系,对相关交易行为进行结构化分析,以辅助风险复盘和合规评估。
结语
Snap Store 的这起事件提醒市场,随着攻击手法不断演进,加密资产风险已从单一链上漏洞,延伸至更复杂的软件供应链层面。在高度依赖自动更新和第三方生态的环境下,围绕交易行为与资金流向的持续监测,正逐步成为行业应对不确定风险的重要基础。