文章总结： 攻击者通过抢注SnapStore开发者过期域名重置密码接管高信誉账号，将合法应用伪装成Exodus等钱包推送恶意更新，诱导用户输入助记词窃币；已确认storewise.tech与vagueentertainment.com遭劫持，Canonical下架滞后致风险持续。建议开发者续费域名并启用2FA，用户勿在商店装钱包应官网直取安装包。 综合评分： 88 文章分类： 供应链安全,漏洞预警,恶意软件,数据安全,应用安全

【安全圈】Linux 用户注意：Snap Store 爆发新型攻击，过期域名成黑客后门

安全圈

2026年1月20日 19:02 江苏

关键词

恶意软件

前 Canonical 员工、资深社区成员 Alan Pope 于 1 月 17 日发出严厉警告，指出 Canonical（热门发行版 Ubuntu 背后公司）运营的 Linux Snap 商店正面临一种新型供应链攻击。

Alan Pope 目前维护近 50 个 Snap 应用，他在博文中揭露了一项令人担忧的新趋势：攻击者正在利用平台机制漏洞，将长期存在的 ” 良民 ” 应用转化为恶意软件。

早期的攻击多依赖创建新账号并伪造逼真的应用页面，容易被识别。然而，现在的攻击者转而监控 Snap 商店中关联域名已过期的开发者账号。

一旦发现目标域名失效，攻击者便立即将其注册，随后利用该域名的邮箱在 Snap Store 触发密码重置，从而兵不血刃地接管已建立长期信誉的发布者身份。这意味着，用户几年前安装且一直信任的合法软件，可能在一夜之间被黑客通过官方更新通道植入恶意代码。

目前已确认 storewise.tech 和 vagueentertainment.com 两个发布者域名通过此方法遭劫持。被篡改的应用通常会伪装成 Exodus、Ledger Live 或 Trust Wallet 等知名加密钱包，其界面与正版几乎没有差别。

应用启动后会先连接远程服务器验证网络，随即诱导用户输入 ” 钱包恢复助记词 “。用户一旦提交，这些敏感信息会即刻传至攻击者服务器，导致资金被盗。由于利用了旧有的信任关系，此类攻击往往在受害者察觉前就已得手。

尽管 Canonical 会在接到举报后移除恶意应用，但 Pope 指出执法往往滞后于发现，恶意更新在被下架前通常已有足够时间侵害用户。

对此，安全专家提出了双向建议：开发者务必确保域名续费及时并开启双重验证（2FA）以锁定账号权限；对于普通用户，尤其是涉及加密货币资产时，应彻底摒弃通过应用商店安装钱包软件的习惯，转而直接从项目官方网站获取安装包，以规避此类供应链风险。

END

阅读推荐

【安全圈】苹果督促用户更新 iPhone 高危漏洞

【安全圈】全球恶意广告劫持DNS漏洞，日均欺诈百万用户

【安全圈】Deno 曝出高危漏洞（CVE-2026-22863 和 CVE-2026-22864）可导致密钥泄露与任意代码执行

【安全圈】加拿大投资行业监管组织发生数据泄露，75 万投资者受影响

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】Linux 用户注意：Snap Store 爆发新型攻击，过期域名成黑客后门》