Faille de sécurité critique découverte : comment les hackers exploitent des domaines expirés pour voler des cryptomonnaies via Snap Store

Le 21 janvier, une menace de sécurité importante a été découverte affectant la plateforme de marché d’applications Snap Store pour les systèmes Linux. Selon les rapports du Directeur de la Sécurité de l’Information de SlowMist Technology, des attaquants ont identifié une vulnérabilité critique leur permettant de compromettre des applications de portefeuilles de cryptomonnaies et de drainer les actifs des utilisateurs. Cette exploitation par les hackers représente une chaîne d’attaque sophistiquée ciblant l’un des canaux de distribution de logiciels les plus utilisés sous Linux.

Comment les attaquants ont exploité la vulnérabilité d’expiration de domaine pour détourner des comptes éditeurs

La méthode d’attaque consiste en un processus en plusieurs étapes qui tire parti des laps de temps entre l’enregistrement et l’expiration des domaines. Les chercheurs en sécurité ont identifié que les hackers surveillaient systématiquement les comptes développeurs sur Snap Store dont les domaines associés avaient expiré. Lorsqu’une cible éligible était repérée, ils enregistraient les mêmes noms de domaine et utilisaient les adresses email liées à ces enregistrements pour initier des réinitialisations de mot de passe de compte. En prenant le contrôle de l’email associé au domaine expiré, les attaquants ont réussi à prendre le contrôle des comptes éditeurs qui avaient une réputation établie sur la plateforme.

Les domaines d’éditeurs compromis jusqu’à présent incluent storewise.tech et vagueentertainment.com. Ces comptes, désormais sous contrôle des attaquants, ont été utilisés par la suite pour distribuer des applications malveillantes.

Cryptomonnaies sous menace : la stratégie de déguisement par malware

Les comptes d’éditeurs détournés ont été exploités pour distribuer des versions contrefaites d’applications populaires de portefeuilles de cryptomonnaies. Les applications malveillantes imitaient des portefeuilles légitimes bien connus, tels qu’Exodus, Ledger Live et Trust Wallet. Les interfaces utilisateur étaient conçues pour être presque identiques aux applications originales, rendant la détection par les utilisateurs occasionnels extrêmement difficile.

Une fois installées, ces applications compromises utilisent une invite trompeuse demandant aux utilisateurs d’entrer leur « phrase mnémonique de récupération du portefeuille » — une information hautement sensible qui donne un accès complet aux avoirs en cryptomonnaies. Lorsque les utilisateurs soumettent involontairement ces données de récupération, celles-ci sont transmises directement aux serveurs de commande des attaquants. Cela entraîne un accès immédiat et non autorisé aux actifs numériques des victimes et une perte totale des fonds.

Implications en matière de sécurité et mesures de protection

Cet incident met en lumière une faille de sécurité critique dans la gestion de la vérification des domaines pour les comptes éditeurs sur les marketplaces d’applications. Les équipes de sécurité recommandent désormais aux développeurs de maintenir des enregistrements de domaine actifs et de mettre en place des couches d’authentification supplémentaires pour les processus de récupération de compte. Les utilisateurs doivent vérifier les applications de portefeuille via les sites officiels des projets et faire preuve de prudence face à toute demande de phrases de récupération — les développeurs légitimes de portefeuilles ne demandent jamais cette information via leurs applications.

L’écosystème plus large des hackers a montré une sophistication croissante dans la cible du secteur des cryptomonnaies, notamment par des compromissions de la chaîne d’approvisionnement et des attaques d’ingénierie sociale basées sur les domaines.