Kerentanan Keamanan Kritikal Ditemukan: Bagaimana Peretas Memanfaatkan Domain Kedaluwarsa untuk Mencuri Cryptocurrency Melalui Snap Store

Pada 21 Januari, sebuah ancaman keamanan yang signifikan terungkap yang mempengaruhi marketplace aplikasi Snap Store untuk sistem Linux. Menurut laporan dari Chief Information Security Officer dari SlowMist Technology, para penyerang telah menemukan kerentanan kritis yang memungkinkan mereka untuk mengompromikan aplikasi dompet cryptocurrency dan menguras aset pengguna. Eksploitasi hacker ini merupakan rangkaian serangan yang canggih yang menargetkan salah satu saluran distribusi perangkat lunak Linux yang paling banyak digunakan.

Bagaimana Penyerang Mengeksploitasi Kerentanan Kedaluwarsa Domain untuk Mengambil Alih Akun Penerbit

Metodologi serangan melibatkan proses multi-langkah yang memanfaatkan kelalaian pendaftaran domain. Peneliti keamanan mengidentifikasi bahwa hacker secara sistematis memantau akun pengembang di Snap Store yang terkait dengan domain yang telah kedaluwarsa. Setelah target yang memenuhi syarat diidentifikasi, penyerang mendaftarkan nama domain yang sama dan menggunakan alamat email yang terkait dengan pendaftaran tersebut untuk memulai reset kata sandi akun. Dengan mendapatkan kendali atas email yang terkait dengan domain yang kedaluwarsa, para penyerang berhasil mengambil alih akun penerbit yang telah membangun reputasi yang signifikan di platform.

Domain penerbit yang telah dikompromikan sejauh ini termasuk storewise.tech dan vagueentertainment.com. Akun-akun ini, yang kini berada di bawah kendali penyerang, kemudian digunakan untuk mendistribusikan aplikasi berbahaya.

Ancaman Terhadap Dompet Cryptocurrency: Strategi Penyamar Malware

Akun penerbit yang diretas ini dimanfaatkan untuk mendistribusikan versi palsu dari aplikasi dompet cryptocurrency yang populer. Aplikasi berbahaya ini menyamar sebagai dompet yang terkenal dan sah, termasuk Exodus, Ledger Live, dan Trust Wallet. Antarmuka pengguna dirancang sedemikian rupa sehingga hampir identik dengan aplikasi asli, membuat deteksi oleh pengguna kasual menjadi sangat sulit.

Setelah terpasang, aplikasi yang dikompromikan ini menggunakan prompt penipuan yang meminta pengguna untuk memasukkan “frasa mnemonic pemulihan dompet” mereka—sepotong informasi yang sangat sensitif yang memberikan akses penuh ke kepemilikan cryptocurrency. Ketika pengguna tanpa sadar mengirimkan data pemulihan ini, data tersebut langsung dikirim ke server perintah penyerang. Hal ini menyebabkan akses tidak sah secara langsung ke aset digital korban dan kehilangan dana secara total.

Implikasi Keamanan dan Langkah Perlindungan

Insiden ini menyoroti celah keamanan kritis dalam cara marketplace aplikasi menangani verifikasi domain untuk akun penerbit. Tim keamanan kini merekomendasikan agar pengembang menjaga pendaftaran domain aktif dan menerapkan lapisan otentikasi tambahan untuk proses pemulihan akun. Pengguna harus memverifikasi aplikasi dompet melalui situs web resmi proyek dan berhati-hati terhadap permintaan frasa pemulihan—pengembang dompet yang sah tidak pernah meminta informasi ini melalui aplikasi mereka.

Ekosistem hacker yang lebih luas telah menunjukkan peningkatan kecanggihan dalam menargetkan sektor cryptocurrency melalui kompromi rantai pasokan dan serangan rekayasa sosial berbasis domain.