Uzņēmums Canonical ir paziņojis par Snap Store automatizētās publicēto paku pārbaudes sistēmas īslaicīgu apturēšanu, jo repozitorijā ir parādījušās paketes, kas satur ļaunprātīgu kodu, lai nozagtu lietotājiem kriptovalūtu. Tajā pašā laikā nav skaidrs, vai incidents aprobežojas ar trešo pušu autoru ļaunprātīgu pakotņu publicēšanu vai arī ir kādas problēmas ar pašas repozitorija drošību, jo situācija oficiālajā paziņojumā ir raksturota kā “ potenciāls drošības incidents."
Sīkāka informācija par notikušo tiek solīta atklātībā pēc izmeklēšanas pabeigšanas. Izmeklēšanas laikā pakalpojums ir pārslēgts uz manuālās pārskatīšanas režīmu, kurā visas jauno snap pakotņu reģistrācijas pirms publicēšanas tiks pārbaudītas manuāli. Izmaiņas neietekmēs esošo snap pakotņu atjauninājumu lejupielādi un publicēšanu.
Problēmas tika identificētas paketēs ledgerlive, ledger1, trezor-wallet un electrum-wallet2, ko uzbrucēji publicēja, aizsedzot oficiālās pakotnes no norādīto kriptomaku izstrādātājiem, bet patiesībā tām nav nekāda sakara ar tiem. Pašlaik problemātiskās snap pakotnes jau ir izņemtas no krātuves un vairs nav pieejamas meklēšanai un instalēšanai, izmantojot snap utilītu. Negadījumi ar ļaunprātīgu pakotņu augšupielādi Snap veikalā ir notikuši jau iepriekš. Piemēram, 2018. gadā Snap veikalā tika identificētas paketes, kas satur slēptu kodu kriptovalūtas ieguvei.
Avots: opennet.ru