Бывший менеджер по инжинирингу и взаимодействию с сообществом в компании Canonical Алан Поуп выяснил, что в рамках новой атаки на пользователей каталога приложений Snap Store злоумышленники начали выкупать просроченные домены, фигурирующие в email зарегистрированных разработчиков snap-пакетов.
После этого они перенаправляли почтовый трафик на свой сервер и инициировали процесс восстановления забытого пароля для доступа к учётной записи. Завладев ею, хакеры могли разместить вредоносное обновление ранее опубликованных доверенных приложений, обойдя расширенные проверки для новых участников и избежав добавления предупреждающих меток.
Поуп выявил как минимум два домена — enstorewise.tech и vagueentertainment.com — которые злоумышленники выкупили для захвата учётных записей.
Ранее они обычно ограничивались регистрацией собственных учётных записей, где публиковались вредоносные пакеты, а обман пользователей осуществлялся путём применения тайпсквоттинга. После этого Canonical ввела ручную проверку новых имён пакетов в Snap Store. Тогда злоумышленники перешли на публикацию вредоносных обновлений в оригинальных пакетах, одновременно пытаясь обойти автоматизированные проверки и фильтры.
Теперь же они заинтересованы в перекупке просроченных доменов, поскольку в репозитории Snap Store не была реализована проверка актуальности доменных имён в email-адресах.
С аналогичной проблемой ранее столкнулся репозиторий PyPI (Python Package Index), который начал автоматически переводить email с просроченными доменами в состояние неподтверждённых. В августе 2025 года PyPI представил новые средства защиты от атак восстановления домена, которые позволяют перехватывать учётные записи посредством сброса пароля. При этом Python Software Foundation аннулировала все токены PyPI, украденные в ходе атаки на цепочку поставок GhostAction в начале сентября 2025 года, подтвердив, что злоумышленники не использовали их для публикации вредоносного ПО.
