Кампанія Canonical абвясціла аб часовым прыпыненні выкарыстання ў Snap Store аўтаматычнай сістэмы праверкі публікуюцца пакетаў з-за з'яўлення ў рэпазітары пакетаў з шкоднасным кодам для крадзяжу криптовалюты ў карыстачоў. Пры гэтым незразумела ці абмяжоўваецца інцыдэнт публікацыяй шкоднасных пакетаў іншымі аўтарамі ці маюць месца нейкія праблемы з бяспекай непасрэдна рэпазітара, бо сітуацыя ў афіцыйным анонсе характарызуецца як «патэнцыйны інцыдэнт з бяспекай».
Падрабязнасці аб інцыдэнце абяцаюць раскрыць пасля заканчэння разбору. На час разбору праца сэрвісу пераведзена ў рэжым ручнога рэцэнзавання, пры якім усе рэгістрацыі новых snap-пакетаў будзе праходзіць ручную праверку перад публікацыяй. Змена не закране загрузку і публікацыю абнаўленняў для ўжо існуючых snap-пакетаў.
Праблемы выяўлены ў пакетах ledgerlive, ledger1, trezor-wallet і electrum-wallet2, апублікаваных зламыснікамі пад выглядам афіцыйных пакетаў ад распрацоўнікаў адзначаных криптокошельков, але на справе не мелых да іх ніякага стаўлення. У наш час праблемныя snap-пакеты ўжо выдаленыя з рэпазітара і больш не даступныя для пошуку і ўсталёўкі пры дапамозе ўтыліты snap. Інцыдэнты з загрузкай шкоднасных пакетаў у Snap Store здараліся і раней, напрыклад, у 2018 годзе ў Snap Store былі выяўлены пакеты, якія ўключаюць схаваны код для майнінгу криптовалюты.
Крыніца: opennet.ru