Canonical 宣布暫時停止 Snap Store 檢查已發佈軟體包的自動化系統,因為儲存庫中出現了包含惡意程式碼的軟體包,可竊取用戶的加密貨幣。 同時,目前還不清楚該事件是否僅限於第三方作者發布惡意包,或者存儲庫本身的安全性是否存在一些問題,因為官方公告中的情況被定性為“潛在的安全事件。”
有關事件的細節承諾將在調查完成後公佈。 在調查過程中,該服務已切換為手動審核模式,在該模式下,所有新的 snap 包的註冊都將在發布前進行手動檢查。 此變更不會影響現有快照包的下載和發布更新。
在 ledgerlive、ledger1、trezor-wallet 和 electrum-wallet2 軟體包中發現了問題,這些軟體包是攻擊者以著名加密錢包開發商的官方軟體包為幌子發布的,但實際上與它們無關。 目前,有問題的 snap 套件已從儲存庫中刪除,並且不再可使用 snap 公用程式進行搜尋和安裝。 先前曾發生惡意軟體包上傳至Snap Store的事件,例如2018年,Snap Store中就發現了包含加密貨幣挖礦隱藏程式碼的軟體套件。
來源: opennet.ru