Canonical公司，Ubuntu的背后软件公司，这周因为其Snap软件仓库和软件作者发布软件包的流程而备受关注。Linux发行版倾向于提供中心化的软件仓库，是为了向用户提供经过测试并确认安全的软件。上周，Alan Pope报告说，一个声称是比特币钱包的Snap包Exodus从Canonical的Snap仓库下载，并被用来偷取用户的数字货币。对该恶意包的检查揭示出，如果Canonical有任何审查程序，这个恶意软件本应被拦截。Pope对该恶意包的概述揭示了详情：

“我想看看这个应用程序本身。在我的工作站上，在一个单独的虚拟机中，我运行了‘snap download exodus’来下载但并未安装该应用程序。我的系统上没有任何加密货币钱包，但我不知道该应用程序可能会尝试做什么，所以为了安全起见，我没有直接在我的电脑上运行它。一个snap只是一个squashfs文件，通常包含一个应用程序、库、资源和元数据。我用unsquashfs解包了snap，并简单地查看了生成的文件。值得注意的是，snap.yaml文件中的大部分元数据仍然是开发者的默认设置，例如“为您的出色snap提供的单行电梯推介”。进一步的调查表明，这是一个使用Flutter开发的应用程序。应用程序二进制文件相当小，除了必需品之外没有很多捆绑的库，这可能表明功能有限。”

自那以来，该违规应用程序已被隔离以防止其传播。

（转载自distrowatch，使用UOS AI翻译）