Hacker-Trick im Linux-Store: So klauen Kriminelle heimlich Krypto-Geld

Das Blockchain-Sicherheitsunternehmen SlowMist hat auf einen neuen, Linux-basierten Angriffsvektor hingewiesen, bei dem vertrauenswürdige Anwendungen aus dem Snap Store missbraucht werden, um Krypto-Wiederherstellungsphrasen von Nutzern zu stehlen.

In einem Beitrag auf X erklärte der Sicherheitschef von SlowMist, bekannt unter dem Namen 23pds, Angreifer nutzten abgelaufene Domains, um langjährig bestehende Publisher-Konten im Snap Store zu übernehmen und über offizielle Kanäle manipulierte Updates zu verbreiten.

Die kompromittierten Anwendungen geben sich demnach als bekannte Krypto-Wallets aus, darunter Exodus, Ledger Live und Trust Wallet, und verwenden Benutzeroberflächen, die den Originalprogrammen stark ähneln.

Nach der Installation oder Aktualisierung fordern die schädlichen Apps Nutzer auf, ihre Wiederherstellungsphrasen einzugeben. Dadurch können Angreifer Zugangsdaten abziehen und Guthaben abräumen, ohne dass die Betroffenen merken, dass ihre Wallet kompromittiert wurde.

Quelle: 23pds

Angreifer kapern Snap-Store-Anbieter über abgelaufene Domains

Der Snap Store ist der offizielle App-Marktplatz für Linux, über den Software im sogenannten „Snap“-Format verteilt wird. Er gilt weithin als Linux-Pendant zum Apple App Store unter macOS und zum Microsoft Store unter Windows.

SlowMist zufolge basiert der Angriff darauf, Entwicklerkonten im Snap Store zu beobachten, die mit Domains verknüpft sind, deren Registrierung abgelaufen ist, die aber zuvor zu legitimen Anbietern gehörten.

Sobald eine Domain verfällt, können Angreifer sie erneut registrieren und über die damit verbundenen E-Mail-Adressen die Zugangsdaten für Snap-Store-Konten zurücksetzen.

Der SlowMist-Manager erklärte, dieses Vorgehen ermögliche es Angreifern, unauffällig etablierte Publisher-Konten mit bestehender Download-Historie und aktiven Nutzern zu übernehmen. Anschließend könne schädlicher Code über reguläre Software-Updates verteilt werden, statt über Neuinstallationen.

SlowMist bestätigte, dass zwei Publisher-Domains – „storewise[.]tech“ und „vagueentertainment[.]com“ – auf diese Weise kompromittiert wurden. Die zugehörigen Anwendungen seien so verändert worden, dass sie bekannte Krypto-Wallets imitieren.

Lieferketten-Angriffe nehmen zu – Krypto-Hacks werden gezielter

Der Angriffsvektor im Snap Store passt zu einem breiteren Wandel bei Krypto-Bedrohungen, bei dem Angreifer zunehmend Infrastruktur und Vertriebskanäle ins Visier nehmen statt den Code von Smart Contracts.

Daten des Sicherheitsunternehmens CertiK, die im Dezember an Cointelegraph übermittelt wurden, zeigen, dass sich die Verluste durch Krypto-Hacks im Jahr 2025 auf 3,3 Milliarden Dollar summierten – trotz eines deutlichen Rückgangs der Zahl einzelner Vorfälle.

CertiK zufolge konzentrierten sich die Schäden auf weniger, dafür umso folgenschwerere Lieferketten-Angriffe, die allein bei zwei Vorfällen Verluste von 1,45 Milliarden Dollar verursachten.

Der Trend deutet darauf hin, dass Angreifer mit zunehmender Sicherheit auf Protokollebene verstärkt auf besonders wirkungsvolle Methoden setzen, die Vertrauensbeziehungen, Software-Updates und externe Infrastruktur ausnutzen.

---