Snap Store Linux visé par un schéma sophistiqué de vol de crypto Les cyberattaquants ont exploité le Snap Store, le dépôt de Canonical pour les paquets logiciels Linux, pour distribuer un malware déguisé en portefeuilles de cryptomonnaies légitimes. En enregistrant des domaines expirés précédemment liés à des éditeurs authentiques, les hackers accèdent à des comptes Snapcraft dormants et téléchargent des mises à jour malveillantes qui récoltent les phrases de récupération des portefeuilles des utilisateurs. Alan Pope, ancien développeur Canonical et contributeur Ubuntu, a d'abord averti de cette tactique le 21 janvier 2026. Il a détaillé comment les attaquants ont pris le contrôle de domaines comme storewise.tech et vagueentertainment.com, en utilisant des serveurs de messagerie associés pour réinitialiser les identifiants. «Les snaps malveillants semblaient normaux mais étaient conçus pour récolter les phrases de récupération des [portefeuilles crypto] et les envoyer vers des serveurs contrôlés par les attaquants », a expliqué Pope. Au moment où les utilisateurs remarquent les problèmes, leurs fonds sont souvent vidés. La société de sécurité blockchain SlowMist a repris ces préoccupations dans un post sur X par le chief information security officer 23pds. La firme a noté que les apps compromises imitent les interfaces de portefeuilles populaires comme Exodus, Ledger Live et Trust Wallet, incitant les utilisateurs à saisir des phrases semences sensibles lors de l'installation ou des mises à jour. «Les attaquants abusent des domaines expirés pour détourner d'anciens comptes d'éditeurs Snap Store et distribuer des mises à jour malveillantes via des canaux officiels », a déclaré 23pds. Cette méthode s'appuie sur des abus antérieurs du Snap Store, incluant des comptes fictifs et des tactiques d'appât et d'échange avec des noms d'apps anodins comme lemon-throw. SlowMist a souligné la nature d'attaque supply-chain, en ligne avec les tendances 2025 où les hacks crypto ont causé 3,3 milliards de dollars de pertes, selon CertiK, les incidents supply-chain représentant 1,45 milliard. Canonical a rapidement supprimé les snaps malveillants après les signalements de Pope et d'autres. Cependant, Pope a critiqué les délais de suppression, qui peuvent prendre des jours, et appelé à de meilleures vérifications : surveillance des expirations de domaines, authentification à deux facteurs obligatoire et contrôles des comptes dormants. Il a également lancé SnapScope, un outil web pour scanner les snaps à la recherche de vulnérabilités. Les utilisateurs sont invités à télécharger les portefeuilles crypto directement des sites officiels et à activer le 2FA sur les comptes. Les éditeurs doivent renouveler les domaines rapidement. Help Net Security a contacté Canonical pour les améliorations prévues, mises à jour en attente. Cet incident met en évidence les menaces croissantes sur les canaux de distribution logicielle, érodant la confiance dans les app stores alors que les attaquants privilégient les exploits à fort impact aux vulnérabilités de code directes.