Des hackers détournent des applications Linux abandonnées sur Snap Store et volent des cryptomonnaies, alertent les experts

Snapcraft, la plateforme de Canonical permettant aux utilisateurs Linux d’installer des applications, est selon des experts en sécurité envahie par des logiciels malveillants. Les hackers prendraient surtout le contrôle d’applications abandonnées ou inactives dans la Snap Store de Canonical, pour les modifier et voler des cryptomonnaies.

Les chercheurs de l’entreprise de cybersécurité Anchore parlent d’une campagne agressive. Les attaquants parviennent à diffuser des malwares dans la Snap Store malgré les contrôles automatiques.

Qu’est-ce que Snapcraft et que sont les snaps ?

Snapcraft est l’écosystème derrière la Snap Store, une boutique d’applications pour Linux. Les applications dans cette boutique sont appelées snaps. Un snap est un paquet logiciel contenant un programme et les composants essentiels dont il a besoin. Les snaps se mettent souvent à jour automatiquement et peuvent fonctionner sur plusieurs distributions Linux.

Le fonctionnement de la prise de contrôle

Selon les chercheurs, les criminels ciblent des snaps qui ne sont plus maintenus depuis longtemps. Pour certaines applications, les noms de domaine des développeurs originaux auraient expiré. Les attaquants achètent ces domaines expirés et les utilisent pour accéder au compte Snap Store via une réinitialisation de mot de passe. Par la suite, ils publient une mise à jour avec du code malveillant, tout en conservant une apparence légitime pour les utilisateurs.

Cibles : les cryptowallets

Dans la plupart des cas, l’attaque vise les cryptowallets, des portefeuilles numériques pour cryptomonnaies. Anchore indique que des « dizaines » de snaps ont déjà été détournés de cette manière. Les pertes varieraient de 10 000 à 490 000 dollars en bitcoin et autres cryptomonnaies.

La malware se fait passer pour des applications de wallet connues, comme Exodus, Ledger Live ou Trust Wallet, selon les chercheurs. Les utilisateurs sont ensuite invités à saisir leur phrase de récupération (recovery phrase), une suite de mots qui donne un accès complet à un wallet. Une fois la phrase saisie, l’information est envoyée aux criminels. Souvent, un message d’erreur apparaît ensuite, mais le wallet peut déjà avoir été vidé.

Qui en est responsable ?

L’identité des attaquants reste inconnue. Toutefois, les chercheurs suggèrent que des indices pourraient indiquer que les criminels se trouvent en Croatie ou dans ses environs.

Pourquoi ce risque est élevé

Cette méthode est particulièrement insidieuse car elle ne concerne pas toujours des applications nouvelles ou inconnues. Des applications existantes, qui semblaient auparavant fiables, peuvent après une prise de contrôle devenir discrètement des malwares. Cela augmente la probabilité que les utilisateurs continuent d’installer ou de mettre à jour l’application.

Conseils pour réduire le risque

Il est conseillé aux utilisateurs d’être particulièrement vigilants avec les applications de wallet et les mises à jour. Une phrase de récupération ne devrait jamais être saisie dans une application ou sur un site web. Partager sa phrase de récupération revient en fait à donner les clés de son cryptowallet.