Domínios zumbi expõem Snap Store a ataques de cadeia de suprimentos

Uma vulnerabilidade crítica no Snap Store da Canonical permite que atacantes sequestrem aplicativos Linux abandonados comprando domínios expirados. Esse método permite que atualizações maliciosas sejam enviadas automaticamente para os sistemas dos usuários. O problema foi destacado em uma análise do ex-engenheiro da Canonical Alan Pope.

No mundo de gerenciamento de pacotes Linux de código aberto, surgiu uma falha sutil, mas perigosa, no Snap Store, a plataforma da Canonical para distribuir aplicativos Ubuntu. Atacantes exploram domínios expirados ligados a projetos abandonados, usando-os para assumir o controle de contas de publicadores sem invadir diretamente os servidores da loja. Essa ameaça de 'domínio zumbi' transforma o sistema baseado em confiança em um vetor para distribuição de malware, conforme detalhado em uma recente exposição de Alan Pope, ex-gerente de engenharia e defensor de desenvolvedores na Canonical. Um relatório anterior havia creditado incorretamente o trabalho a Daniele Procida, agora diretor de engenharia na Canonical, mas a análise e o post original do blog pertencem a Pope. Publicado em 27 de janeiro de 2026, as descobertas revelam como os metadados do formato de empacotamento Snap, especificamente o e-mail de contato público no arquivo snap.yaml, se tornam um ponto fraco. Quando desenvolvedores abandonam projetos, seus domínios expiram, criando oportunidades para atores maliciosos registrá-los a baixo custo — frequentemente por menos de US$ 10 — e configurar manipuladores de e-mail para interceptar tokens de redefinição de senha da Snap Store. Com acesso à conta garantido, atacantes podem carregar atualizações maliciosas que se instalam silenciosamente via atualizações automáticas em segundo plano da plataforma, potencialmente concedendo privilégios de root ou permitindo atividades como mineração de criptomoedas e roubo de dados. Essa abordagem sequestra aplicativos autênticos em vez de imitá-los por meio de typo-squatting, ampliando o risco em ambientes empresariais que dependem de Snaps para servidores e desktops. O trabalho de Pope destaca a baixa barreira de entrada para tais ataques, com ferramentas simples disponíveis para escanear a loja em busca de domínios vulneráveis. A vulnerabilidade persiste devido a processos de verificação estáticos, onde distintivos de 'publicador verificado' permanecem mesmo após mudanças na propriedade do domínio, erodindo a confiança do usuário. Problemas semelhantes afetam repositórios como NPM e PyPI, mas a ligação direta do Snap entre e-mails públicos e recuperação de conta o torna especialmente suscetível. O comando snap info auxilia ainda mais os atacantes ao exibir abertamente detalhes de contato, priorizando transparência sobre segurança. Para combater isso, especialistas defendem verificação contínua de publicadores e mascaramento de endereços de e-mail, embora tais reformas exijam grandes reformulações da plataforma. Até ser resolvida, os usuários devem verificar manualmente as fontes de software, minando a conveniência das atualizações automáticas. Este caso ilustra desafios mais amplos na segurança de cadeias de suprimento de software, onde identidades digitais dependem de fatores mundanos como renovações de domínio.

Artigos relacionados

Illustration depicting the Linux CopyFail vulnerability enabling root access exploits alongside Ubuntu's DDoS-induced outage.
Imagem gerada por IA

Linux CopyFail exploit threatens root access amid Ubuntu outage

Reportado por IA Imagem gerada por IA

A critical Linux vulnerability known as CopyFail, tracked as CVE-2026-31431, allows attackers to gain root access on systems running kernels since 2017. Publicly released exploit code has heightened risks for data centers and personal devices. Ubuntu's infrastructure has been offline for over a day due to a DDoS attack, hampering security communications.

Scammers have exploited poor record-keeping at top universities to hijack hundreds of subdomains, serving explicit pornography and malicious scams. Researcher Alex Shakhov identified at least 34 affected institutions, including UC Berkeley, Columbia University, and Washington University in St. Louis. The vulnerabilities arise from unremoved DNS CNAME records for decommissioned subdomains.

Reportado por IA

Four days after the CopyFail (CVE-2026-31431) exploit disclosure disrupted Ubuntu services, the US government warned of its critical risks to Linux systems, urging immediate patching amid public exploit code.

Qualys researchers have identified a logic flaw in the Linux kernel that enables unprivileged local users to disclose sensitive files and execute arbitrary commands as root.

Reportado por IA

Daemon Tools, a popular disk image mounting app, was compromised in a supply-chain attack starting April 8, delivering malware through official updates. Security firm Kaspersky reported infections on thousands of machines across over 100 countries. Users are urged to scan their systems immediately.

terça-feira, 16 de junho de 2026, 20:05h

Arch Linux disables new AUR registrations after malware waves

terça-feira, 09 de junho de 2026, 04:36h

Single character triggers high-severity Linux kernel vulnerability

segunda-feira, 08 de junho de 2026, 12:50h

Microsoft packages hit with credential-stealing malware for second time

terça-feira, 26 de maio de 2026, 07:15h

Ghost CMS flaw leveraged in ClickFix attacks

sábado, 09 de maio de 2026, 20:17h

New dirty frag exploit grants root access on linux systems

Este site usa cookies

Usamos cookies para análise para melhorar nosso site. Leia nossa política de privacidade para mais informações.
Recusar