Xubuntu.org könnte kompromittiert worden sein

 (old.reddit.com)
1 Punkte von GN⁺ 2025-10-20 | 1 Kommentare | Auf WhatsApp teilen
  • In den letzten Tagen haben Nutzer eine ungewöhnliche Struktur und verdächtige Aktivitäten auf Xubuntu.org bemerkt.
  • Einige Links führen zu verdächtigen externen Seiten oder zu nicht verifizierten Datei-Downloads.
  • In der Community bildet sich eine vorsichtige Haltung wegen der möglichen Phishing- oder Schadsoftware-Verbreitung heraus.
  • Die offizielle Seite von Xubuntu hat eine Untersuchung des genauen Ausmaßes der möglichen Kompromittierung eingeleitet.
  • Nutzern wird empfohlen, bis die Sicherheit bestätigt ist, alle Downloads und Anmeldeaktionen einzustellen.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-10-20
Hacker-News-Kommentar

  • Die Hauptfunktion dieser Malware besteht darin, Kryptowallet-Adressen in der Zwischenablage zu erkennen und sie durch die Adresse des Angreifers zu ersetzen

    • Bitcoin (bc1): bc1qrzh7d0yy8c3arqxc23twkjujxxaxcm08uqh60v
    • Litecoin (ltc1/L/M): LQ4B4aJqUH92BgtDseWxiCRn45Q8eHzTkH
    • Ethereum (0x): 0x10A8B2e2790879FFCdE514DdE615b4732312252D
    • Dogecoin (D): DQzrwvUJTXBxAbYiynzACLntrY4i9mMs7D
    • Tron (T): TW93HYbyptRYsXj1rkHWyVUpps2anK12hg
    • Ripple (r): r9vQFVwRxSkpFavwA9HefPFkWaWBQxy4pU
    • Cardano (addr1): addr1q9atfml5cew4hx0z09xu7mj7fazv445z4xyr5gtqh6c9p4r6knhlf3jatwv7y72deah9un6yettg92vg8gskp04s2r2qren6tw
      Es gibt keine Garantie dafür, dass keine weiteren bösartigen Aktionen ausgeführt werden
    • Ich frage mich, ob man auf der Blockchain überprüfen kann, ob der Angreifer tatsächlich Geld erhält, und wie profitabel solche Angriffe sind
    • Ich frage mich, ob Websites im Browser heutzutage überhaupt noch den Inhalt der Zwischenablage lesen können
    • Schon anhand der Überschrift des Artikels dachte ich, dass es wohl so eine Art Angriff sein würde; vielleicht naiv, aber früher habe ich Open-Source-Software einfach vertraut, damals habe ich Distributionen oder Pakete ohne jede Vorkenntnis sofort installiert, heute installiere ich wirklich nur noch, was ich unbedingt brauche

  • Im ursprünglichen Thread gibt es einen angehefteten Kommentar https://old.reddit.com/r/xubuntu/comments/1oa43gt/xubuntuorg_might_be_compromised/

    • Die Behauptung, es sei „nur ein kurzer Fehler“ gewesen, ist eine massive Verharmlosung; so etwas als „Fehler“ zu bezeichnen, macht den Administrator, der den Kommentar hinterlassen hat, eher noch verdächtiger, denn es ist schwer zu glauben, dass man versehentlich eine bösartige exe und eine zip-Datei mit Xubuntu-Bezug vorbereitet, auf den Server hochlädt und sogar noch einen Torrent-Link damit verknüpft
    • Es ist mehr als nur seltsam, vielmehr hochgradig verdächtig, vage von einem „Fehler“ zu sprechen und nicht einmal zu prüfen, ob Malware enthalten ist

  • Ich habe auf der offiziellen Xubuntu-Website die Prüfsummen der neuesten ISO-Dateien überprüft, und sie sehen normal aus
    https://mirror.us.leaseweb.net/ubuntu-cdimage/xubuntu/releases/24.04/release/

    • So wie ich es verstanden habe, entsteht das Problem dadurch, dass man statt des offiziellen Images eine beschädigte zip-Datei über den Torrent-Download-Link erhält
      „Der Torrent-Download enthält in der zip-Datei eine verdächtige exe und eine tos.txt; in der tos steht das Copyright-Jahr 2026, obwohl wir noch 2025 haben, was verdächtig wirkt; ich habe die exe mit file-roller geöffnet, konnte aber keine .torrent-Datei finden“
    • Ich frage mich, woher der Maßstab für die SHA256SUMS-Datei stammt und ob auch geprüft wurde, dass die GPG-Signatur dieser Prüfsummendatei von einer vertrauenswürdigen Quelle heruntergeladen wurde
    • Wenn ein Angreifer manipulierte ISO-Dateien hochladen kann, dann kann er meiner Ansicht nach auch die Prüfsummendateien gleich mit manipulieren; heute, wo Downloads per https sicher erfolgen, stellt sich mir die Frage nach dem Nutzen von Prüfsummen selbst, denn um einer Prüfsumme zu vertrauen, braucht man eine systematische Vertrauenskette aus glaubwürdigen Quellen

  • Erschreckend an dem Thread war für mich, dass nach der Domain-Änderung im letzten Jahr noch immer eine gefälschte Lubuntu-Seite existiert; ich habe vor ein paar Wochen Lubuntu installiert und hatte wohl Glück, dass ich es von der echten Website heruntergeladen habe; die gefälschte Seite bietet nur Versionen bis 19.04 an
    Ich habe nach langer Zeit wieder einmal Lubuntu installiert und wusste nichts von den jüngsten Problemen rund um die Domain-Übernahme; auch wenn ich heute danach suche, habe ich bislang keine weiteren Informationen gefunden

    • Die Website ist zwar nicht die offizielle Seite, aber ein typisches WordPress-Werbeportal, das mit wortreichen, offensichtlich KI-generierten Artikeln über allerlei Software und Werbung vollgestopft ist und dann nur auf die offiziellen Download-Links verweist
      Bei Roblox-Launchern wie Bloxstrap ist es ähnlich: Die offizielle URL ist https://bloxstraplabs.com, aber gefälschte Seiten wie bloxstrap[.]net erscheinen oft weit oben in den Suchergebnissen
      Derzeit verteilen sie keine Malware, aber das kann sich jederzeit ändern
    • Wenn man uBlock Origin nutzt, wird beim Aufruf von lubuntu.net gewarnt, also ist das in Ordnung

  • Einer der Gründe für den Verdacht ist das Copyright-Jahr; es mag seltsam wirken, wenn 2025 dort (C) 2026 steht, aber das ist auch in der traditionellen Verlagswelt gelegentlich üblich; ich habe schon einmal im September ein Lehrbuch mit der Jahreszahl des Folgejahres bekommen und gedacht: „Ein Buch aus der Zukunft“

  • Bei solchen Berichten frage ich mich jedes Mal, ob Leute ihre Software-Wallets für Kryptowährungen wirklich auf dem PC aufbewahren, den sie im Alltag benutzen; ich habe einen separaten Laptop, den ich ausschließlich für Krypto verwende, und mir fällt kaum eine andere sichere Methode ein

    • Tatsächlich erledigen nur wenige Menschen ihre Krypto-Angelegenheiten auf einem Desktop oder Laptop; die meisten machen alles über ein einziges Smartphone, nur wenige besitzen überhaupt zwei Geräte, und dass jemand eines davon ausschließlich für Krypto nutzt, dürfte eine winzige Minderheit sein
    • Die Macht der Bequemlichkeit ist größer, als man erwartet, und außerdem ist in meinem Wallet ohnehin fast nichts drin, also denke ich, dass ein Hacker dort kaum etwas holen könnte; selbst wenn es geleert würde, wäre der Schaden gering – es ist gewissermaßen ein „leeres Wallet“

  • Der Vorfall ist eine Lektion darin, Prüfsummen gründlicher zu verifizieren; wenn eine Website kompromittiert ist, können auch die Prüfsummen beliebig manipuliert werden; es ist vielleicht an der Zeit für ein zentrales System zur Prüfsummenverifikation für alle wichtigen – oder sogar alle – Distributionen

  • In diesem Fall würde die Wirkung der Malware fast bedeutungslos werden, wenn man Windows mit der ISO komplett überschreibt und Linux installiert

    • Aber wenn man die Live-ISO nur testet und dann zu Windows zurückkehrt, infiziert man sich dann nicht? Es wirkt fast so, als wolle da jemand die Leute mit aller Macht zu Linux bringen :P

  • Link zum archivierten Reddit-Thread

    • Danke für so einen Link; wenn ich wie jetzt auf dem Smartphone Reddit öffne, wird ständig die App erzwungen gestartet und der Zurück-Button verhält sich völlig kaputt, was extrem nervig ist

  • Jemand scherzt darüber, wer heimlich einen Wayland-Compositor für XFCE hinzugefügt habe