Компания Canonical временно отключила автоматическую систему проверки публикуемых пакетов в Snap Store из-за возникновения в репозитории подозрительных пакетов с вредоносным кодом, предназначенным для кражи криптовалюты у пользователей. На данный момент неясно, связан ли инцидент с публикацией вредоносных пакетов сторонними разработчиками или же имеется проблема безопасности самого репозитория, поскольку в официальном заявлении ситуация описана как “потенциальный инцидент с безопасностью”.
Canonical обещает предоставить детали инцидента по окончании расследования. Во время проведения разбирательств, сервис переключен в режим ручного рецензирования, при котором все регистрации новых snap-пакетов будут проходить ручную проверку перед публикацией. Это изменение не затронет загрузку и публикацию обновлений для уже существующих snap-пакетов.
Проблемы выявлены в пакетах ledgerlive , ledger1 , trezor-wallet и electrum-wallet2 , опубликованных злоумышленниками под видом официальных пакетов от разработчиков отмеченных криптокошельков, хотя на самом деле они не имели к ним отношения. В настоящее время проблемные snap-пакеты уже удалены из репозитория и больше не доступны для поиска и установки через утилиту snap.
Источник: SecurityLab