Canonical 宣布暂时停止 Snap Store 检查已发布软件包的自动化系统,因为存储库中出现了包含恶意代码的软件包,可窃取用户的加密货币。 同时,目前还不清楚该事件是否仅限于第三方作者发布恶意包,或者存储库本身的安全性是否存在一些问题,因为官方公告中的情况被定性为“潜在的安全事件。”
有关事件的细节承诺将在调查完成后公布。 在调查过程中,该服务已切换为手动审核模式,在该模式下,所有新的 snap 包的注册都将在发布前进行手动检查。 此更改不会影响现有快照包的下载和发布更新。
在 ledgerlive、ledger1、trezor-wallet 和 electrum-wallet2 软件包中发现了问题,这些软件包是攻击者以著名加密钱包开发商的官方软件包为幌子发布的,但实际上与它们无关。 目前,有问题的 snap 包已从存储库中删除,并且不再可使用 snap 实用程序进行搜索和安装。 此前曾发生过恶意软件包上传至Snap Store的事件,例如2018年,Snap Store中就发现了包含加密货币挖矿隐藏代码的软件包。
来源: opennet.ru