Hackers secuestran dominios de Snap Store para distribuir malware que roba criptomonedas

Por: Fecha de publicación:

 

Una nueva y preocupante campaña de ciberataques está afectando a usuarios de Linux, donde delincuentes han encontrado una forma de tomar el control de cuentas legítimas de la Snap Store —el repositorio oficial de paquetes snap para Ubuntu y otras distros— y usar esas cuentas para distribuir malware disfrazado como aplicaciones confiables.

Lo más alarmante es la técnica usada: los atacantes no crean paquetes falsos nuevos, sino que secuestran cuentas existentes de editores confiables aprovechando dominios expirados, lo que les permite distribuir actualizaciones maliciosas que parecen legítimas.

Cómo funciona esta campaña

Según investigaciones de expertos como Alan Pope, colaborador de Ubuntu y exdesarrollador de Canonical, los atacantes están:

  1. Identificando dominios web y direcciones de correo electrónico asociados a desarrolladores antiguos de la Snap Store que han expirado.

  2. Registrando esos dominios expirados, lo que les permite recuperar el acceso a cuentas de Snap Store vinculadas a ellos.

  3. Usando la funcionalidad de restablecimiento de contraseña para tomar control de cuentas cuyos editores originales han abandonado.

  4. Subiendo versiones maliciosas de aplicaciones previamente confiables o usando la validez del historial del editor para que las actualizaciones se consideren legítimas.

Esto es especialmente peligroso porque muchos usuarios confían en la reputación de aplicaciones instaladas hace años, sin sospechar que ahora esas mismas apps pueden distribuir malware simplemente por una actualización maliciosa.

 ¿Qué están haciendo con el malware?

Los paquetes maliciosos distribuidos tras el secuestro de cuentas imitan aplicaciones de billeteras de criptomonedas populares como Exodus, Ledger Live o Trust Wallet.

Estas aplicaciones fraudulentas:

  • solicitan a los usuarios que ingresen su frase de recuperación (seed phrase) o claves de acceso,

  • transmiten esa información a servidores controlados por los atacantes,

  • y luego vacían las billeteras de las víctimas sin que estas se den cuenta hasta que es demasiado tarde.

Este tipo de ataque puede causar pérdidas significativas de activos digitales, con reportes de pérdidas por cientos de miles de dólares en incidentes similares observados por analistas de seguridad.

Usuarios de GNU/Linux

Snap Store es una plataforma popular para instalar aplicaciones en Linux porque los snaps son paquetes auto-contenidos que incluyen todas las dependencias necesarias y suelen estar firmados y verificados.

Sin embargo, cuando un editor de aplicaciones pierde el control de su dominio y una cuenta es secuestrada:

  • La aplicación comprometida mantiene la apariencia de ser confiable,

  • Los usuarios no reciben advertencias claras sobre la actualización maliciosa,

  • Y las actualizaciones se instalan automáticamente en sistemas que confían en el historial del paquete.

Esto rompe el modelo de confianza que muchos usuarios han asumido que era seguro, dejando a sus sistemas expuestos.

Consejos para protegerte

Si usás Linux y Snap Store, considerá estas buenas prácticas de seguridad:

  • Evitar instalar paquetes de billeteras de criptomonedas desde la Snap Store a menos que confirmes su autenticidad directamente con el proyecto original.
  • Verificar dominios, correos y cuentas de editores antes de actualizar aplicaciones, especialmente si manejan activos sensibles como claves de billeteras.
  • Configurar copias de seguridad periódicas de tu sistema y datos importantes, incluyendo configuraciones de aplicaciones.
  • Mantener un control de qué paquetes están instalados y eliminar los que no uses o no reconozcas.

Además, para casos críticos como billeteras de criptomonedas, es recomendable usar fuentes oficiales de los desarrolladores (por ejemplo, descargar directamente de los sitios web de los proyectos o repositorios verificados) en lugar de repositorios de paquetes de terceros.


 La campaña en la Snap Store demuestra que los atacantes ya no se limitan a crear malware desde cero: ahora explotan confianza histórica, cuentas legítimas y dominios expirados para introducir código malicioso en sistemas que sus usuarios consideran seguros.

Aunque las tiendas de paquetes como Snap ofrecen comodidad y facilidad de uso para los usuarios de Linux, este tipo de incidentes resalta la importancia de revisar la procedencia de las aplicaciones y las cuentas de los editores, especialmente cuando se trata de software relacionado con finanzas y criptomonedas.

Comentarios

Publicar un comentario

Entradas más populares de este blog

🛡️ Nueva vulnerabilidad crítica en Windows SMB Client puede exponer entornos empresariales completos (CVE-2025-33073)

Por: Fecha de publicación:
Imagen
El 19 de enero de 2026 , se publicó un reporte técnico que revela una vulnerabilidad de seguridad grave en el cliente SMB de Windows que afecta entornos corporativos y redes con Active Directory. Esta falla está catalogada como CVE-2025-33073 y permite a atacantes escalar privilegios y comprometer infraestructuras completas si no se han aplicado las actualizaciones recomendadas por Microsoft.  📌 ¿Qué es SMB y por qué importa? SMB ( Server Message Block ) es un protocolo de red ampliamente usado en sistemas Windows para compartir archivos, impresoras y autenticación entre máquinas. El cliente SMB es la parte del sistema operativo que inicia conexiones a recursos remotos. Este componente también participa en el proceso de autenticación con servicios centrales como Active Directory (AD) , que es el corazón de la gestión de usuarios, permisos y seguridad en casi todas las redes empresariales basadas en Windows.  🔍 ¿En qué consiste esta vulnerabilidad? La falla reside en un mec...
Leer más

Raaga Data Breach: Más de 10 millones de cuentas expuestas en la Dark Web

Por: Fecha de publicación:
Imagen
En diciembre de 2025 se detectó una filtración de datos masiva que afectó a la plataforma Raaga , un popular servicio de streaming de música con base en India . Según reportes de seguridad, el incidente comprometió información personal de más de 10.2 millones de usuarios , y parte de esa base de datos fue publicada para su venta en foros de hacking de la Dark Web . ¿Qué datos se vieron comprometidos? Los datos filtrados incluían información muy sensible de los usuarios, entre ellos: Nombres completos Direcciones de correo electrónico Género y edad (incluidas fechas parciales de nacimiento) Ubicación geográfica y códigos postales Contraseñas almacenadas como hashes MD5 sin “salt” Este último punto es especialmente grave: MD5 sin sal es un algoritmo de hashing obsoleto y muy débil que puede ser descifrado rápidamente con hardware moderno o técnicas automatizadas. Esto permite a los atacantes reconstruir las contraseñas en texto claro con relativa facilidad.  ¿Cómo pudo ...
Leer más

Filtración masiva de datos: 48 M de cuentas de Gmail y 6.5 M de Instagram expuestas en una base de datos insegura

Por: Fecha de publicación:
Imagen
  Se ha descubierto una base de datos pública sin protección ni cifrado que contenía aproximadamente 149 millones de credenciales de inicio de sesión de cuentas de servicios populares como Gmail, Instagram, Facebook, Netflix y otros, lo que representa una de las mayores filtraciones de credenciales recopiladas por infostealer en los últimos años. ( gbhackers.com ) Esta exposición fue identificada explícitamente en muestras que revelaron 48 millones de cuentas de Gmail y 6.5 millones de cuentas de Instagram dentro del conjunto de datos, junto con millones de credenciales de otros servicios ampliamente utilizados. ( gbhackers.com )  ¿Qué información estaba expuesta? La base de datos, de unos 96 GB , no tenía ninguna protección de contraseña ni cifrado, por lo que podía accederse directamente desde un navegador o cliente sin autenticar. Entre los 149 millones de registros expuestos se encontraron: Aproximadamente 48 millones de cuentas de Gmail Cerca de 17 millones de cuentas...
Leer más