A empresa de segurança blockchain SlowMist emitiu um alerta sobre um novo vetor de ataque direcionado a usuários de Linux, capaz de roubar frases de recuperação de carteiras cripto por meio de aplicativos distribuídos na Snap Store, a loja oficial de aplicativos do sistema.

Segundo publicação na rede X feita por 23pds, diretor de segurança da informação da SlowMist, os atacantes estão explorando domínios expirados para sequestrar contas antigas e confiáveis de desenvolvedores dentro da Snap Store. A partir desse acesso, passam a distribuir atualizações maliciosas por canais oficiais, dificultando a detecção.

Apps falsos imitam carteiras populares

De acordo com a investigação, os aplicativos comprometidos imitam carteiras conhecidas, como Exodus, Ledger Live e Trust Wallet, utilizando interfaces quase idênticas às versões legítimas.

Após a instalação ou atualização, o malware solicita que o usuário informe sua seed phrase (frase de recuperação). Com esses dados, os atacantes conseguem acessar as carteiras remotamente e drenar os fundos, muitas vezes sem que a vítima perceba imediatamente que foi comprometida.

Como funciona o sequestro de contas na Snap Store

A Snap Store é amplamente utilizada no ecossistema Linux para distribuição de aplicativos no formato snap, sendo frequentemente comparada à App Store da Apple ou à Microsoft Store. Por isso, aplicativos publicados ali tendem a gozar de alto nível de confiança entre usuários.

Segundo a SlowMist, os atacantes monitoram contas de desenvolvedores associadas a domínios que expiraram, mas que anteriormente pertenciam a publishers legítimos. Quando o domínio deixa de ser renovado, ele pode ser recomprado por terceiros, que então passam a ter acesso a endereços de e-mail vinculados ao domínio original.

Com isso, os criminosos conseguem resetar credenciais, assumir o controle da conta do desenvolvedor e publicar atualizações maliciosas para aplicativos já instalados por milhares de usuários — uma técnica muito mais eficaz do que distribuir softwares novos do zero.

A SlowMist confirmou que ao menos dois domínios foram comprometidos dessa forma:

• storewise[.]tech

• vagueentertainment[.]com

Os aplicativos associados a essas contas teriam sido modificados para se passar por wallets cripto populares.

Ataques de supply chain ganham força no setor cripto

O caso se encaixa em uma tendência mais ampla observada no ecossistema cripto: a migração dos ataques do nível de smart contracts para a infraestrutura e cadeias de distribuição de software.

Dados da CertiK, compartilhados no fim de 2025, mostram que as perdas com hacks cripto chegaram a US$ 3,3 bilhões no ano, mesmo com queda no número total de incidentes.

Segundo a CertiK, os prejuízos passaram a se concentrar em menos ataques, porém muito mais destrutivos, especialmente os de supply chain, que responderam por US$ 1,45 bilhão em perdas em apenas dois grandes incidentes.

O movimento indica que, à medida que a segurança de protocolos melhora, atacantes passam a explorar relações de confiança, atualizações automáticas e infraestruturas terceirizadas — exatamente como no caso da Snap Store.

Especialistas reforçam que usuários devem desconfiar de qualquer aplicativo que solicite seed phrases, manter sistemas atualizados e verificar cuidadosamente a procedência de softwares, mesmo quando distribuídos por lojas oficiais.

Fonte: SlowMist, CertiK

🎓 Quer aprender a usar o Bitcoin para conquistar liberdade financeira? Conheça meu curso Soberania Crypto no site www.oandrecosta.com.br.