Ett misstänkt intrång på den officiella webbplatsen för Linux-distributionen Xubuntu har väckt oro i open source-världen. Under flera timmar ska nedladdningsknappen på Xubuntu.org ha lett till en ZIP-fil innehållande en Windows-trojan istället för den riktiga installationen. Händelsen har fått experter att uppmana användare till försiktighet och att noggrant kontrollera sina nedladdningar.
Det är inte den typ av nyhet någon vill läsa om ett av de mest betrodda Linux-projekten, men enligt nya uppgifter kan den officiella webbplatsen för Xubuntu ha blivit utsatt för ett intrång som ledde till spridning av skadlig kod.
Ett oroande fynd på Reddit
Larmet kom från en användare på Reddit som upptäckte något mycket märkligt. När denne klickade på nedladdningsknappen på Xubuntu.org laddades inte det vanliga ISO-avbilden av operativsystemet ned, utan istället en ZIP-fil med namnet Xubuntu-Safe-Download.zip.
Inuti arkivet fanns en Windows-körbar fil som vid analys på VirusTotal identifierades som en trojan. För att lura användaren var filen maskerad som en officiell installerare och innehöll till och med ett falskt ”terms of service”-dokument för att ge ett seriöst intryck.
Så fungerade den misstänkta skadliga koden
Enligt analysen verkade programmet vara en så kallad crypto clipper – en typ av skadeprogram som övervakar datorns urklipp. När användaren kopierar en kryptovaluta-adress (till exempel för att skicka Bitcoin eller Ethereum) byts adressen automatiskt ut mot angriparens egen. Resultatet blir att pengarna hamnar på fel konto.
Hur länge låg den där?
Den skadliga länken uppges ha legat aktiv i omkring sex timmar innan Xubuntu-teamet tog bort den. I skrivande stund leder nedladdningslänken på webbplatsen ingenstans, utan skickar bara besökaren tillbaka till startsidan. Det stärker misstanken om att något faktiskt har hänt.
Än så länge har varken Xubuntu-projektet eller Canonical, företaget bakom Ubuntu, gått ut med någon officiell kommentar. Det är därför oklart hur intrånget skedde eller vilka servrar som påverkades.
Vad användare bör göra nu
Experter och community-medlemmar uppmanar alla som laddat ned något från Xubuntu.org under den misstänkta perioden att:
- verifiera filernas integritet genom att kontrollera deras checksummor (till exempel SHA256),
- radera misstänkta filer och köra en virussökning om man använder Windows,
- endast ladda ned Xubuntu från officiella Ubuntu-servrar eller verifierade speglar (mirrors).
Diskussionen har även tagits upp på Ubuntu Discourse-forumen, men tråden är för närvarande låst för granskning av administratörer.
Så kollar du om en fil är skadlig
Det finns flera praktiska sätt att avgöra om en fil är säker eller inte.
- Jämför checksummor.
De officiella Xubuntu- och Ubuntu-avbilderna har alltid SHA256- eller MD5-summor publicerade på sina nedladdningssidor. Du kan kontrollera att din fil stämmer genom att köra:
sha256sum filnamn.isoeller
md5sum filnamn.isoOm kontrollsumman skiljer sig från den officiella är filen med största sannolikhet manipulerad.
- Kontrollera GPG-signaturer.
Vissa Linux-distributioner signerar sina ISO-filer med en kryptografisk nyckel. Kör:
gpg --verify filnamn.iso.gpg filnamn.isooch kontrollera att nyckeln tillhör rätt projekt (Canonical eller Xubuntu-teamet).
- Skanna filen på VirusTotal.
Gå till https://www.virustotal.com, ladda upp filen eller klistra in dess hashvärde. Tjänsten kontrollerar den mot ett stort antal antivirusmotorer och rapporterar eventuella varningar. - Var uppmärksam på ovanliga namn.
En officiell Linux-nedladdning kommer nästan alltid som en.iso-fil, aldrig som.zipeller.exe. Sådana filändelser är en tydlig varningssignal.
En del av ett växande mönster
Händelsen är tyvärr inte isolerad. Under de senaste månaderna har flera stora Linux-projekt drabbats av liknande säkerhetsincidenter:
- Arch Linux AUR utsattes för ett paketkompromissangrepp.
- Red Hat drabbades av ett intrång i sin GitLab-instans.
- Fedora och Arch Linux har båda fått utstå DDoS-attacker som tillfälligt slog ut delar av deras infrastruktur.
Även om dessa attacker skiljer sig åt i både omfattning och motiv visar de en oroande trend: öppen källkod har blivit ett allt mer attraktivt mål för cyberangrepp.
Varför angripa öppen källkod?
Öppen källkod bygger på förtroende och transparens – egenskaper som också gör den sårbar. Genom att kompromettera koden eller de officiella distributionskanalerna kan angripare sprida skadlig kod till tusentals användare med ett enda felaktigt klick.
För användare betyder det att kontroll av källor, signaturer och checksummor blir viktigare än någonsin. För utvecklare är det en påminnelse om att även små projekt behöver säkerhetsrutiner på hög nivå.
Slutsats
Om rapporten stämmer är detta en allvarlig påminnelse om att ingen plattform är immun mot attacker, inte ens de mest etablerade Linux-distributionerna.
Tills ett officiellt uttalande kommer från Xubuntu-projektet gäller följande:
ladda inte ned något från Xubuntu.org, vänta på bekräftad information via officiella Ubuntu-kanaler och håll dig uppdaterad.
Den öppna källkodens styrka är dess gemenskap – men det är också där dess största sårbarhet kan ligga.
https://linuxiac.com/user-flags-possible-malware-incident-on-xubuntu-org
