Недавно появились новости о том, что Официальный сайт Xubuntu был взломан из-за серьезного нарушения безопасности, которое повлияло на распространение после Неизвестным злоумышленникам удалось взломать страницу загрузки и заменить легитимные ссылки вредоносным файлом под названием «Xubuntu-Safe-Download.zip». Этот файл, который выглядел как официальный установщик, на самом деле содержал троян Windows, предназначенный для кражи криптовалюты.
Первое предупреждение пришло от Пользователь Reddit, который заметил подозрительное поведение при попытке скачать Xubuntu с официального сайта. Вместо торрента или образа ISO был загружен файл «Xubuntu-Safe-Download.zip», содержащий исполняемый файл Windows.
El анализ в VirusTotal подтвердил, что Файл был трояном, который имитировал установщик. подлинный и даже включил поддельный документ с условиями обслуживания чтобы укрепить свою легитимность. Его Его истинной функцией было действовать как криптоклиппер., перехватывая адреса криптовалютных кошельков, скопированные в буфер обмена, и заменяя их адресами злоумышленников.
Обратите внимание, что Xubuntu.org был взломан, и его кнопка загрузки пытается загрузить «Xubuntu-Safe-Download.zip», который, по всей видимости, содержит поддельные TOS и EXE-файл, а Virustotal подтверждает наличие вредоносного ПО (трояна). Похоже, кто-то пытается привлечь новичков в Windows, которых может заинтересовать Linux (тем более сейчас, когда приближается окончание поддержки Windows 10).
Надеюсь, команда проекта Xubuntu и Ubuntu/Canonical смогут отреагировать быстро, но, по словам первых, кто заметил уязвимость, она активна уже шесть часов. Тот факт, что эта уязвимость активна уже шесть часов, не должен стать проблемой.
По сообщениям, Вредоносное перенаправление оставалось активным около шести часов. До того, как команда Xubuntu удалила взломанную ссылку. В настоящее время страница загрузки отключена и перенаправляет на главную страницу сайта, что подтверждает, что команда пытается минимизировать ущерб.
Вредоносное ПО затронуло только пользователей Windows.
Хотя инцидент вызвал большую обеспокоенность в сообществе Linux, все указывает на то, что Атака была направлена конкретно на пользователей Windows.Вредоносный исполняемый файл был установлен в папку AppData/Roaming (уникальный путь для данной операционной системы). Файл, также идентифицированный как «TestCompany.SafeDownloader.exe», был помечен как вредоносный 26 из 72 поставщиков антивирусного ПО на VirusTotal.
Согласно анализу, Эта вредоносная программа не является майнером, а клиппером. который изменяет содержимое буфера обмена, перенаправляя криптовалютные транзакции на адреса, контролируемые злоумышленниками. Его конструкция предполагает, что пытались обмануть неопытных пользователей которые переходят с Windows на Linux и могут не заметить различий между законными методами загрузки.
Уязвимость WordPress и возможное предварительное вторжение
Все указывает на то, что Атака произошла из-за уязвимости в WordPress с сайта xubuntu.org, возможно из-за устаревшего плагина. Журналы Archive.org показывают, что страница была изменена в период с 11 по 18 октября — в тот же период, когда была добавлена вредоносная ссылка.
Спасибо всем. Мы используем наш хостинг для обновлений, и, похоже, произошла небольшая ошибка. Мы работаем над этим, но страница загрузок сейчас отключена.
Мы переходим на статическую среду, что должно устранить подобные проблемы, но наша команда довольно мала и очень занята...
Кроме того, В сентябре уже сообщалось о случаях ненормального поведения.или на сайте, когда пользователь заметил запись в блоге, рекламирующую казино. Хотя она была быстро удалена, тщательного расследования не проводилось, что, по всей видимости, является ранним признаком взлома.
Стоит отметить, что инцидент с Xubuntu — не единичный случай. В последние месяцы сообщество разработчиков ПО с открытым исходным кодом столкнулось с многочисленными атаками: в репозиторий Arch Linux AUR был внедрён RAT-троян, инфраструктура Fedora и Arch подверглась DDoS-атакам, а также был скомпрометирован экземпляр Red Hat GitLab.