你从官方商店更新的“正版”应用,可能正在将你的加密资产助记词,悄然发送到黑客的服务器。
2026年1月20日,前Canonical资深员工、维护近50个Snap应用的社区专家Alan Pope发出重磅警告:Ubuntu背后的Canonical公司所运营的Snap商店,正遭受一种极其隐秘的新型供应链攻击。攻击者不再伪造新应用,而是通过劫持开发者过期域名,“合法”接管已有数年信誉的官方应用,并通过商店的自动更新机制,将恶意代码直接推送到用户设备。
01 攻击手法解析:一次“域名过期”引发的信任崩塌
这种攻击巧妙地利用了应用商店生态中的信任链,其核心步骤揭示了当前开源分发体系的潜在脆弱性:
第一阶段:潜伏与狩猎
攻击者系统性地监控Snap商店中数千个应用发布者账号,重点搜寻那些关联的官方域名因疏忽而未能续费的开发者。这些账号往往对应着已上架多年、拥有良好下载记录和用户信任的“老牌”应用。
第二阶段:劫持与接管
一旦目标域名过期并进入公共注册池,攻击者立即将其抢注。随后,他们利用该域名对应的邮箱地址,在Snap商店轻松触发“密码重置”流程。兵不血刃,一个积累了长期信誉的发布者身份就此易主。
第三阶段:伪装与收割
获得控制权后,攻击者并不急于下架原有应用,而是通过官方渠道提交恶意更新。目前已被确认的案例中,被篡改的应用完美伪装成 Exodus、Ledger Live、Trust Wallet 等知名加密货币钱包。
其攻击载荷设计精巧:
- 启动验证:应用首先连接远程服务器,确认网络环境“安全”。
- 诱导输入:界面与正版无异,但会诱骗用户输入“12或24个单词的恢复助记词”。
- 瞬间窃取:助记词一旦提交,即刻加密传输至攻击者控制的服务器。用户的加密资产在毫无知觉中已面临清零风险。
02 深度影响:为何这是“降维打击”?
与此前伪造新应用的攻击相比,此轮攻击的威胁等级呈指数级上升:
- 信任基础被颠覆:用户和系统对“已安装且长期正常更新的老应用”的戒备心极低。攻击利用了最坚固的信任关系。
- 官方渠道被武器化:恶意代码通过Snap商店的官方自动更新通道分发,绕过了所有“仅从官方商店安装”的安全建议,使官方商店从安全源头变为攻击载体。
- 响应滞后导致空窗期:尽管Canonical在接到报告后会下架恶意应用,但Alan Pope指出,从发现、举报到下架之间存在致命的时间差,足以让大量用户中招。
03 实战防御指南:开发者与用户的双向加固
给Snap应用开发者的安全清单
- 域名资产严格管理:将关联的域名视为最高安全资产,设置多重续费提醒,或一次性注册10年,避免因疏忽过期。
- 强制启用双因素认证(2FA):为Snap开发者账户及关联邮箱开启2FA。即使密码泄露或邮箱被重置,这仍是账户的最后一道防线。
- 实施代码签名与审计:对发布的二进制文件进行签名,并考虑在更新中引入透明的构建日志,供社区审计。
「主机帮」产品联动提示:
确保您的开发者域名和官网安全,是防御此类攻击的起点。我们强烈建议:
- 启用企业级SSL证书:不仅实现HTTPS加密,许多证书服务(如我们提供的DigiCert、Sectigo等品牌证书)还附带详细的到期提醒服务,可作为您域名到期的重要预警渠道之一。同时,OV/EV型证书能向用户直观展示经过验证的组织身份,增强可信度。
- 为官网部署WAF防护:保护您的官方网站和下载服务器不被篡改或挂马,防止其成为攻击链条的一环。
给Linux用户的紧急行动建议
- 关键软件,直连官网:尤其对于加密货币钱包、密码管理器等涉及核心资产与隐私的应用,彻底改变习惯,直接从项目官方网站获取安装包和校验签名,绕过应用商店。
- 审视自动更新:对于已安装的敏感应用,可暂时关闭全局自动更新,改为手动检查并确认更新来源的可靠性后再执行。
- 保持系统级警惕:使用网络监控工具(如
Little Snitch类防火墙)或终端命令(netstat、lsof)监控应用的非正常网络连接请求,警惕未知外联。
04 事件反思:开源软件供应链安全的新挑战
此次事件暴露出,在便捷的集中式应用商店生态中,一个微小的薄弱环节(开发者遗忘续费域名)就可能导致整个信任链的连锁崩溃。它不仅是Snap商店的问题,更是对所有软件分发平台(包括Docker Hub、各大语言包仓库)的一次严厉警示。
安全必须从供应链的每一个环节入手——从开发者的账户安全,到分发的渠道安全,再到终端的验证意识。任何一环的缺失,都可能让用户从“更新”变成“上当”。
信任,是开源生态的基石,却也正在成为攻击者最锋利的矛。
在数字资产安全面前,多一份谨慎绝非多余。立即检查您系统中关键应用的来源,并为您的开发项目筑牢账户与资产的安全防线。
如果您是开发者,担心域名管理疏忽或官网安全,请立即联系我们,了解如何通过企业级SSL证书与WAF防护,构建可信的软件分发第一印象。
