Ang Canonical ay nag-anunsyo ng pansamantalang pagsususpinde ng automated system ng Snap Store para sa pagsuri sa mga na-publish na package dahil sa paglitaw ng mga package na naglalaman ng malisyosong code sa repository upang magnakaw ng cryptocurrency mula sa mga user. Kasabay nito, hindi malinaw kung ang insidente ay limitado sa paglalathala ng mga malisyosong pakete ng mga third-party na may-akda o kung mayroong ilang mga problema sa seguridad ng repositoryo mismo, dahil ang sitwasyon sa opisyal na anunsyo ay nailalarawan bilang " potensyal na insidente sa seguridad."
Ang mga detalye tungkol sa insidente ay ipinangako na ibunyag pagkatapos makumpleto ang imbestigasyon. Sa panahon ng pagsisiyasat, ang serbisyo ay inilipat sa manual review mode, kung saan ang lahat ng pagpaparehistro ng mga bagong snap package ay manu-manong susuriin bago i-publish. Hindi makakaapekto ang pagbabago sa pag-download at pag-publish ng mga update para sa mga umiiral nang snap package.
Natukoy ang mga problema sa mga pakete ng ledgerlive, ledger1, trezor-wallet at electrum-wallet2, na inilathala ng mga umaatake sa ilalim ng pagkukunwari ng mga opisyal na pakete mula sa mga developer ng nabanggit na crypto-wallet, ngunit sa katunayan ay walang kinalaman sa mga ito. Sa kasalukuyan, ang mga may problemang snap package ay naalis na sa repository at hindi na magagamit para sa paghahanap at pag-install gamit ang snap utility. Ang mga insidente na may mga nakakahamak na package na ina-upload sa Snap Store ay nangyari na dati. Halimbawa, noong 2018, ang mga package na naglalaman ng nakatagong code para sa cryptocurrency mining ay natukoy sa Snap Store.
Pinagmulan: opennet.ru