Hackers aprovechan aplicaciones Linux abandonadas en Snap Store para robar criptomonedas, advierten expertos

Snapcraft, la plataforma de Canonical que permite a los usuarios de Linux instalar aplicaciones, está siendo inundada por software malicioso, según expertos en seguridad. Los hackers estarían tomando el control de aplicaciones abandonadas o inactivas en la Snap Store de Canonical y ajustándolas para robar criptomonedas.

Investigadores de la empresa de ciberseguridad Anchore hablan de una campaña agresiva. Los atacantes logran distribuir malware en la Snap Store a pesar de los controles automáticos.

¿Qué es Snapcraft y qué son los snaps?

Snapcraft es el ecosistema detrás de la Snap Store, una tienda de aplicaciones para Linux. Las aplicaciones en esta tienda se llaman snaps. Un snap es un paquete de software que contiene un programa y los componentes principales que necesita. Los snaps suelen actualizarse automáticamente y pueden funcionar en varias distribuciones de Linux.

Cómo funciona la toma de control

Según los investigadores, los criminales se centran en snaps que llevan tiempo sin mantenimiento. Algunas aplicaciones también tienen los nombres de dominio de los desarrolladores originales caducados. Los atacantes adquieren esos dominios caducados y los utilizan para acceder a la cuenta de la Snap Store mediante un restablecimiento de contraseña. Luego, publican una actualización con código malicioso, mientras que la aplicación sigue pareciendo legítima para los usuarios.

Objetivo: criptomonedas

En la mayoría de los casos, el ataque está dirigido a monederos de criptomonedas, billeteras digitales para criptodivisas. Anchore afirma que ya hay «decenas» de snaps explotados de esta manera. Los daños varían entre 10.000 y 490.000 dólares en bitcoin y otras criptomonedas.

Según los investigadores, el malware se disfraza como aplicaciones de monedero conocidas, como Exodus, Ledger Live o Trust Wallet. Luego, se solicita a los usuarios que ingresen su frase de recuperación. Esta serie de palabras otorga acceso total a una billetera. Una vez que se introduce la frase de recuperación, la información se envía a los delincuentes. A menudo aparece un mensaje de error posteriormente, pero para ese momento la billetera ya puede estar vacía.

¿Quiénes están detrás?

Se desconoce la identidad de los atacantes. Sin embargo, los investigadores señalan que hay indicios de que los criminales podrían estar en o cerca de Croacia.

Por qué este riesgo es elevado

Este método es especialmente insidioso porque no siempre se trata de aplicaciones nuevas o desconocidas. Precisamente, las aplicaciones existentes que antes parecían confiables pueden transformarse en malware sin que se note tras una toma de control. Esto aumenta la probabilidad de que los usuarios sigan instalando o actualizando la aplicación.

Consejos para reducir el riesgo

Se aconseja a los usuarios que estén especialmente atentos con las aplicaciones de monedero y sus actualizaciones. Una frase de recuperación nunca debe ingresarse en una aplicación o en un sitio web sin más. Compartir la frase de recuperación es, de hecho, entregar las llaves de su monedero de criptomonedas.