بسته های مخرب در فروشگاه اسنپ اوبونتو شناسایی شد

Canonical به دلیل ظاهر شدن بسته های حاوی کد مخرب در مخزن برای سرقت ارزهای دیجیتال از کاربران، سیستم خودکار فروشگاه اسنپ را برای بررسی بسته های منتشر شده به حالت تعلیق موقت اعلام کرده است. در عین حال، مشخص نیست که آیا این رویداد به انتشار بسته های مخرب توسط نویسندگان شخص ثالث محدود می شود یا اینکه آیا مشکلاتی در مورد امنیت خود مخزن وجود دارد، زیرا وضعیت در اعلامیه رسمی به عنوان " حادثه امنیتی احتمالی.»

قول داده شده است که جزئیات این حادثه پس از تکمیل تحقیقات فاش شود. در طول بررسی، این سرویس به حالت بازبینی دستی تغییر یافته است که در آن کلیه ثبت نام بسته های اسنپ جدید قبل از انتشار به صورت دستی بررسی می شود. این تغییر بر دانلود و انتشار به‌روزرسانی‌های بسته‌های اسنپ موجود تأثیری نخواهد داشت.

مشکلاتی در بسته‌های ledgerlive، ledger1، trezor-wallet و electrum-wallet2 شناسایی شدند که توسط مهاجمان تحت پوشش بسته‌های رسمی توسعه‌دهندگان کیف پول‌های رمزنگاری شده منتشر شده بودند، اما در واقع هیچ ارتباطی با آنها نداشتند. در حال حاضر، بسته های مشکل دار snap قبلاً از مخزن حذف شده اند و دیگر برای جستجو و نصب با استفاده از ابزار snap در دسترس نیستند. اتفاقاتی با بسته های مخرب در حال آپلود در فروشگاه اسنپ قبلا رخ داده است، به عنوان مثال، در سال 2018، بسته های حاوی کدهای مخفی برای استخراج ارزهای دیجیتال در اسنپ استور شناسایی شدند.

منبع: opennet.ru