Получив контроль за существующей учётной записью атакующие могут разместить вредоносное обновление ранее опубликованных заслуживающих доверия приложений, обойдя расширенные проверки, применяемые к новым участникам, и избежав добавления предупреждающих меток о новых проектах. Алан Поуп выявил как минимум два домена (enstorewise.tech и vagueentertainment.com), выкупленных злоумышленниками для захвата учётных записей, но предполагается, что таких случаев намного больше.
В прошлом злоумышленники ограничивались регистрацией собственных учётных записей, под которыми публиковались вредоносные пакеты, выдающие себя за официальные сборки популярных программ, или использующие имена, похожие на уже существующие пакеты (тайпсквоттинг). В ответ компания Canonical ввела ручную проверку новых имён пакетов, впервые размещаемых в Snap Store. После этого основная активность распространителей вредоносного ПО сосредоточилась на размещении оригинальных пакетов, их рекламировании в социальных сетях и публикацией через какое-то время вредоносного обновления.
Теперь вектор атаки сместился в сторону перекупки просроченных доменов, так как в репозитории Snap Store не была реализована проверка актуальности доменных имён, используемых в email-адресах. В прошлом году с подобной проблемой столкнулся репозиторий PyPI (Python Package Index), который начал автоматически переводить email с просроченными доменами в состояние неподтверждённых. В PyPI было заблокировано более 1800 подобных email-адресов.
Источник: http://www.opennet.ru/opennews/art.shtml?num=64641