Хакеры атаковали пользователей каталога приложений Snap Store через email разработчиков

Бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical Алан Поуп выяснил, что в рамках новой атаки на пользователей каталога приложений Snap Store злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов.

После этого они перенаправляли почтовый трафик на свой сервер и инициировали процесс восстановления забытого пароля для доступа к учётной записи. Завладев ею, хакеры могли разместить вредоносное обновление ранее опубликованных доверенных приложений, обойдя расширенные проверки для новых участников и избежав добавления предупреждающих меток. 

Поуп выявил как минимум два домена — enstorewise.tech и vagueentertainment.com — которые злоумышленники выкупили для захвата учётных записей.

Ранее они обычно ограничивались регистрацией собственных учётных записей, где публиковались вредоносные пакеты, а обман пользователей осуществлялся путём применения тайпсквоттинга. После этого Canonical ввела ручную проверку новых имён пакетов в Snap Store. Тогда злоумышленники перешли на публикацию вредоносных обновлений в оригинальных пакетах, одновременно пытаясь обойти автоматизированные проверки и фильтры.

Теперь же они заинтересованы в перекупке просроченных доменов, поскольку в репозитории Snap Store не была реализована проверка актуальности доменных имён в email-адресах. 

С аналогичной проблемой ранее столкнулся репозиторий PyPI (Python Package Index), который начал автоматически переводить email с просроченными доменами в состояние неподтверждённых. В августе 2025 года PyPI представил новые средства защиты от атак восстановления домена, которые позволяют перехватывать учётные записи посредством сброса пароля. При этом Python Software