Hack Alerta

Snap Store: domínio expirado permite publicação de snaps maliciosos

Por Redação Hack Alerta Publicado em 22/01/2026 18:03 Riscos e Ameaças Tempo de leitura: 2 min

Ataque aproveita domínios de publishers expirados no Snap Store: criminosos registram domínios caducos, resetam senhas e publicam updates maliciosos que furtam frases de carteiras. A técnica preserva histórico do publisher e invalida suposições de confiança baseadas em idade do pacote.

Resumo

Pesquisas apontam que atacantes estão comprando domínios expirados de publishers do Snap Store para assumir contas e publicar atualizações maliciosas que imitam carteiras de criptomoedas, driblando sinais de confiança do repositório.

Mecanismo de comprometimento

Segundo análise do pesquisador Alan Pope, a técnica explora o fluxo de recuperação de senha vinculado a domínios de publishers: quando um domínio de um publisher caduca, o atacante registra o domínio e usa o mecanismo de reset para obter controle da conta do publisher já estabelecida, mantendo histórico e reputação do pacote.

Consequências práticas

Com acesso ao publisher, o agressor publica atualizações maliciosas em aplicações legítimas já instaladas pelos usuários, transformando software instalado há anos em vetor de entrega. Foram citados exemplos que mimetizam carteiras como Exodus e Ledger Live; ao executar, esses snaps coletam frases de recuperação e as transmitem aos criminosos.

Escopo e sinais

  • Domínios identificados: storewise.tech e vagueentertainment.com (casos documentados), com suspeita de outros comprometimentos.
  • A técnica diminui a eficácia de heurísticas que priorizam pacotes de publishers antigos pela sua suposta confiabilidade.

Medidas recomendadas

  • Canonical deve implementar monitoramento de registro de domínios vinculados a publishers e exigir verificação adicional para resets originados desses domínios.
  • Forçar 2FA para contas de publisher e exigir verificação humana para mudanças críticas em contas inativas.
  • Equipes de segurança corporativa devem auditar snaps instalados em desktops e servidores, validar origem e checksum das aplicações e bloquear atualizações automáticas para aplicativos sensíveis até verificação.
  • Usuários de carteiras criptográficas devem preferir downloads diretos dos sites oficiais e verificar assinaturas/ checksums onde disponíveis.

As evidências públicas mostram mecanismo e exemplos, mas falta um inventário público completo de pacotes afetados; organizações que mantêm fleets Linux precisam assumir risco até que Canonical mitigue o problema.

Implicações

O abuso de domínios expirados altera o modelo de confiança de repositórios centralizados: não é suficiente confiar no histórico de um publisher, é preciso verificar vigência de registros e políticas de recuperação de conta. O incidente destaca necessidade de controles de governança e monitoramento de cadeia de suprimentos de software em ambientes Linux tanto para desktops quanto para servidores.

Baseado em publicação original de Cyber Security News
Tags: #snap-store #canonical #domain-hijacking #linux #wallet-stealer #supply-chain #publisher-account #snap #security
Publicado pela Redação Hack Alerta com base em fontes externas citadas e monitoramento editorial do Hack Alerta. Para decisões técnicas, operacionais ou jurídicas, confirme sempre os detalhes na fonte original.
← Voltar