Canonicalは、ユーザーから仮想通貨を盗む悪意のあるコードを含むパッケージがリポジトリ内に出現したため、公開パッケージをチェックするSnap Storeの自動システムを一時停止すると発表した。 同時に、公式発表では状況が「潜在的なセキュリティインシデント。」
事件の詳細は捜査完了後に明らかにされることが約束されている。 調査中、サービスは手動レビュー モードに切り替えられ、新しいスナップ パッケージのすべての登録が公開前に手動でチェックされます。 この変更は、既存のスナップ パッケージの更新のダウンロードと公開には影響しません。
問題は、有名な暗号通貨ウォレットの開発者による公式パッケージを装って攻撃者によって公開された、ledgerlive、ledger1、trezor-wallet、および electrum-wallet2 パッケージで特定されましたが、実際にはそれらとは何の関係もありません。 現在、問題のあるスナップ パッケージはすでにリポジトリから削除されており、スナップ ユーティリティを使用した検索やインストールはできなくなりました。 悪意のあるパッケージが Snap Store にアップロードされる事件はこれまでも発生しており、たとえば 2018 年には、仮想通貨マイニング用の隠しコードを含むパッケージが Snap Store で特定されました。
出所: オープンネット.ru