Hackers kapen verlaten Linux-apps in Snap Store en stelen cryptovaluta, waarschuwen experts

Snapcraft, het platform van Canonical waarmee Linux-gebruikers apps kunnen installeren, wordt volgens beveiligingsexperts overspoeld door kwaadaardige software. Hackers zouden vooral verlaten of inactieve apps in de Canonical Snap Store overnemen en deze vervolgens aanpassen om cryptovaluta te stelen.

Onderzoekers van cybersecuritybedrijf Anchore spreken van een agressieve campagne. Daarbij lukt het aanvallers om ondanks automatische controles toch malware in de Snap Store te verspreiden.

Wat is Snapcraft en wat zijn snaps?

Snapcraft is het ecosysteem achter de Snap Store, een appwinkel voor Linux. Apps in die winkel heten snaps. Zo’n snap is een softwarepakket dat een programma en de belangrijkste onderdelen die het nodig heeft bevat. Snaps worden vaak automatisch bijgewerkt en kunnen op meerdere Linux-distributies werken.

Zo werkt de overname

Volgens de onderzoekers richten criminelen zich op snaps die al langere tijd niet meer worden onderhouden. Van sommige apps zouden ook de domeinnamen van de oorspronkelijke ontwikkelaars zijn verlopen. De aanvallers kopen die verlopen domeinen op en gebruiken ze om via een wachtwoordreset toegang tot het Snap Store-account te krijgen. Daarna plaatsen ze een update met kwaadaardige code, terwijl de app er voor gebruikers nog steeds legitiem uitziet.

Doelwit: cryptowallets

In de meeste gevallen is de aanval gericht op cryptowallets, digitale portemonnees voor cryptomunten. Anchore zegt dat er al “tientallen” snaps op deze manier zijn misbruikt. De schade zou variëren van 10.000 tot 490.000 dollar aan bitcoin en andere cryptovaluta.

De malware vermomt zich volgens de onderzoekers als bekende wallet-apps, zoals Exodus, Ledger Live of Trust Wallet. Gebruikers krijgen vervolgens het verzoek om hun herstelzin (recovery phrase) in te voeren. Die reeks woorden geeft volledige toegang tot een wallet. Zodra de herstelzin wordt ingevuld, wordt die informatie naar criminelen gestuurd. Vaak verschijnt daarna een foutmelding, maar op dat moment kan de wallet al zijn leeggehaald.

Wie zit erachter?

De identiteit van de aanvallers is niet bekend. Wel stellen de onderzoekers dat signalen erop wijzen dat de criminelen zich mogelijk in of rond Kroatië bevinden.

Waarom dit risico groot is

Deze methode is extra verraderlijk omdat het niet altijd om nieuwe, onbekende apps gaat. Juist bestaande apps die eerder betrouwbaar leken, kunnen na een overname ongemerkt veranderen in malware. Dat vergroot de kans dat gebruikers de app blijven installeren of updaten.

Tips om risico te beperken

Gebruikers wordt aangeraden extra alert te zijn bij wallet-apps en updates. Een herstelzin hoort nooit zomaar in een app of op een website te worden ingevuld. Wie zijn herstelzin deelt, geeft feitelijk de sleutels tot zijn cryptowallet weg.