• Misstänkt sabotage mot Xubuntu.org – användare varnas för falsk installation med trojan

    Ett misstänkt intrång på den officiella webbplatsen för Linux-distributionen Xubuntu har väckt oro i open source-världen. Under flera timmar ska nedladdningsknappen på Xubuntu.org ha lett till en ZIP-fil innehållande en Windows-trojan istället för den riktiga installationen. Händelsen har fått experter att uppmana användare till försiktighet och att noggrant kontrollera sina nedladdningar.

    Det är inte den typ av nyhet någon vill läsa om ett av de mest betrodda Linux-projekten, men enligt nya uppgifter kan den officiella webbplatsen för Xubuntu ha blivit utsatt för ett intrång som ledde till spridning av skadlig kod.

    Ett oroande fynd på Reddit

    Larmet kom från en användare på Reddit som upptäckte något mycket märkligt. När denne klickade på nedladdningsknappen på Xubuntu.org laddades inte det vanliga ISO-avbilden av operativsystemet ned, utan istället en ZIP-fil med namnet Xubuntu-Safe-Download.zip.

    Inuti arkivet fanns en Windows-körbar fil som vid analys på VirusTotal identifierades som en trojan. För att lura användaren var filen maskerad som en officiell installerare och innehöll till och med ett falskt ”terms of service”-dokument för att ge ett seriöst intryck.

    Så fungerade den misstänkta skadliga koden

    Enligt analysen verkade programmet vara en så kallad crypto clipper – en typ av skadeprogram som övervakar datorns urklipp. När användaren kopierar en kryptovaluta-adress (till exempel för att skicka Bitcoin eller Ethereum) byts adressen automatiskt ut mot angriparens egen. Resultatet blir att pengarna hamnar på fel konto.

    Hur länge låg den där?

    Den skadliga länken uppges ha legat aktiv i omkring sex timmar innan Xubuntu-teamet tog bort den. I skrivande stund leder nedladdningslänken på webbplatsen ingenstans, utan skickar bara besökaren tillbaka till startsidan. Det stärker misstanken om att något faktiskt har hänt.

    Än så länge har varken Xubuntu-projektet eller Canonical, företaget bakom Ubuntu, gått ut med någon officiell kommentar. Det är därför oklart hur intrånget skedde eller vilka servrar som påverkades.

    Vad användare bör göra nu

    Experter och community-medlemmar uppmanar alla som laddat ned något från Xubuntu.org under den misstänkta perioden att:

    • verifiera filernas integritet genom att kontrollera deras checksummor (till exempel SHA256),
    • radera misstänkta filer och köra en virussökning om man använder Windows,
    • endast ladda ned Xubuntu från officiella Ubuntu-servrar eller verifierade speglar (mirrors).

    Diskussionen har även tagits upp på Ubuntu Discourse-forumen, men tråden är för närvarande låst för granskning av administratörer.

    Så kollar du om en fil är skadlig

    Det finns flera praktiska sätt att avgöra om en fil är säker eller inte.

    1. Jämför checksummor.
      De officiella Xubuntu- och Ubuntu-avbilderna har alltid SHA256- eller MD5-summor publicerade på sina nedladdningssidor. Du kan kontrollera att din fil stämmer genom att köra:
       sha256sum filnamn.iso

    eller

       md5sum filnamn.iso

    Om kontrollsumman skiljer sig från den officiella är filen med största sannolikhet manipulerad.

    1. Kontrollera GPG-signaturer.
      Vissa Linux-distributioner signerar sina ISO-filer med en kryptografisk nyckel. Kör:
       gpg --verify filnamn.iso.gpg filnamn.iso

    och kontrollera att nyckeln tillhör rätt projekt (Canonical eller Xubuntu-teamet).

    1. Skanna filen på VirusTotal.
      Gå till https://www.virustotal.com, ladda upp filen eller klistra in dess hashvärde. Tjänsten kontrollerar den mot ett stort antal antivirusmotorer och rapporterar eventuella varningar.
    2. Var uppmärksam på ovanliga namn.
      En officiell Linux-nedladdning kommer nästan alltid som en .iso-fil, aldrig som .zip eller .exe. Sådana filändelser är en tydlig varningssignal.

    En del av ett växande mönster

    Händelsen är tyvärr inte isolerad. Under de senaste månaderna har flera stora Linux-projekt drabbats av liknande säkerhetsincidenter:

    • Arch Linux AUR utsattes för ett paketkompromissangrepp.
    • Red Hat drabbades av ett intrång i sin GitLab-instans.
    • Fedora och Arch Linux har båda fått utstå DDoS-attacker som tillfälligt slog ut delar av deras infrastruktur.

    Även om dessa attacker skiljer sig åt i både omfattning och motiv visar de en oroande trend: öppen källkod har blivit ett allt mer attraktivt mål för cyberangrepp.

    Varför angripa öppen källkod?

    Öppen källkod bygger på förtroende och transparens – egenskaper som också gör den sårbar. Genom att kompromettera koden eller de officiella distributionskanalerna kan angripare sprida skadlig kod till tusentals användare med ett enda felaktigt klick.

    För användare betyder det att kontroll av källor, signaturer och checksummor blir viktigare än någonsin. För utvecklare är det en påminnelse om att även små projekt behöver säkerhetsrutiner på hög nivå.

    Slutsats

    Om rapporten stämmer är detta en allvarlig påminnelse om att ingen plattform är immun mot attacker, inte ens de mest etablerade Linux-distributionerna.

    Tills ett officiellt uttalande kommer från Xubuntu-projektet gäller följande:
    ladda inte ned något från Xubuntu.org, vänta på bekräftad information via officiella Ubuntu-kanaler och håll dig uppdaterad.

    Den öppna källkodens styrka är dess gemenskap – men det är också där dess största sårbarhet kan ligga.

    https://linuxiac.com/user-flags-possible-malware-incident-on-xubuntu-org

    , , , , , , , , , , , , , , , , , , , , , , , ,

  • Plague – En ny osynlig Linux-bakdörr som utnyttjar PAM för att ta kontroll över system

    En ny bakdörr för Linux, kallad Plague, har identifierats och analyserats av säkerhetsforskare. Det rör sig om ett avancerat intrångsverktyg som integreras i systemets autentiseringsramverk (PAM) och möjliggör dold fjärråtkomst via SSH. Den är särskilt svår att upptäcka, lämnar få spår och fungerar även efter systemuppdateringar.

    Bakdörr via PAM-modul

    Plague är skriven som en PAM-modul, vilket innebär att den laddas direkt i systemets inloggningsflöde. När en användare försöker autentisera sig – t.ex. via SSH eller terminal – kan modulen fånga upp autentiseringsförfrågan. Om ett av flera inbyggda lösenord används, ges åtkomst utan att systemets vanliga kontroller används.

    Exempel på hårdkodade lösenord i Plague:

    Mvi4Odm6tld7
IpV57KNK32Ih
changeme

    Det innebär att angriparen kan logga in utan att ha något känt konto på systemet.

    Designad för ihållande åtkomst

    Plague är byggd för att ligga kvar i systemet över tid. Den döljer sin existens genom flera tekniker:

    • Miljövariabler relaterade till SSH (t.ex. SSH_CONNECTION, SSH_CLIENT) raderas.
    • Kommandologgning blockeras genom att HISTFILE pekas till /dev/null.
    • Kod och strängar är obfuskade och krypterade, ofta i flera lager, för att försvåra analys.
    • Den utger sig för att vara en legitim modul, ofta under namnet libselinux.so.8.

    Plague försöker också aktivt undvika att bli analyserad. Den kontrollerar t.ex. om den körs i en debugger eller i en säkerhetsanalysmiljö, och anpassar sitt beteende därefter.

    Inte upptäckbar med traditionella verktyg

    Eftersom Plague integreras i autentiseringskedjan och agerar som ett systembibliotek, upptäcks den sällan av antivirusprogram eller EDR-lösningar. Den beter sig inte som ett fristående program och loggar inga misstänkta aktiviteter.

    Det krävs specialiserade metoder för att upptäcka den:

    • Manuell granskning av laddade PAM-moduler.
    • Filintegritetskontroll (t.ex. med AIDE eller Tripwire).
    • YARA-regler som identifierar kända kodmönster.
    • Övervakning av ovanliga inloggningar eller förändrade miljövariabler.

    Säkerhetsimplikationer

    Eftersom Plague påverkar autentiseringen direkt, innebär ett intrång att angriparen har fullständig kontroll över systemet. Det räcker inte att ta bort användarkonton eller byta lösenord – bakdörren ger åtkomst oberoende av dessa mekanismer.

    Det är särskilt allvarligt i produktionsmiljöer där PAM används i många tjänster (t.ex. SSH, sudo, login, su). Ett komprometterat system kan vara i angriparens händer utan att någon märker det.

    Rekommenderade åtgärder

    • Granska PAM-konfigurationer och kontrollera att endast förväntade moduler används.
    • Kontrollera alla bibliotek i sökvägar som /lib/security och /etc/pam.d/.
    • Använd verktyg för filintegritet för att upptäcka förändringar i kritiska systemfiler.
    • Undersök ovanliga inloggningar, särskilt med okända lösenord eller kontonamn.
    • Implementera YARA-regler och annan hotjakt vid minsta misstanke om kompromettering.

    Fördjupad analys från Nextron Systems

    Säkerhetsföretaget Nextron Systems har publicerat en teknisk analys av Plague-bakdörren. Rapporten innehåller detaljer om kodstruktur, hashvärden, hårdkodade lösenord och indikatorer på kompromettering (IoC). En länk till deras rapport rekommenderas för vidare analys.

    https://www.nextron-systems.com/2025/08/01/plague-a-newly-discovered-pam-based-backdoor-for-linux

    https://ostechnix.com/plague-pam-based-linux-backdoor

    FAKTARUTA – Plague-bakdörren för Linux
    Typ av hot PAM-baserad bakdörr (ELF-bibliotek) som krokar in i autentisering och öppnar dold SSH-åtkomst.
    Mål/plattform Linuxservrar och arbetsstationer där PAM används (t.ex. sshd, login, sudo).
    Vad den utnyttjar Pluggable Authentication Modules (PAM); maskerar sig som legitim modul, ofta under systemlika filnamn.
    Åtkomstmetod Accepterar fördefinierade “master-lösenord” och kan släppa in oavsett användarnamn.
    Hårdkodade lösenord (ex.) Mvi4Odm6tld7, IpV57KNK32Ih, changeme
    Persistens Ligger i autentiseringskedjan ⇒ överlever omstarter och vanliga uppdateringar utan separata startskript.
    Stealth/antiforensik Rensar miljövariabler (SSH_CONNECTION, SSH_CLIENT), pekar HISTFILE till /dev/null, minimerar spår i loggar.
    Anti-analys Obfuskering och krypterade strängar (flera lager); miljökontroller för att undvika debugger/sandbox.
    Indikatorer (IoC) Ovana PAM-moduler/filer; misstänkta namn i /lib/security; annorlunda poster i /etc/pam.d/*; avvikande SSH-inloggningar.
    Primära risker Obehörig SSH-åtkomst (upp till root), lateral rörelse, datastöld, svår incidentforensik p.g.a. brist på loggar.
    Rekommenderade åtgärder Inventera PAM-konfiguration/bibliotek; filintegritetskontroll (AIDE/Tripwire); YARA-baserad jakt; central loggning; överväg att stänga lösenordsautentisering i SSH och använda nycklar/FIDO2.
    Påverkade miljöer Bastion/jump-hostar, moln-instanser, CI/CD-noder, databasserver- och filserversmiljöer.
    Riskbedömning Hög – påverkar kärnkomponenten autentisering och är svår att upptäcka med traditionella verktyg.
    , , , , , , , , , , , , , , , , , , , , , , ,

Skapa egna QR-koder
Skapa egna QR-koder

annons

Trasig dator?

Datorreparation Stockholm
  • Vi fixar trötta speldatorer
  • Byter skärm på laptops
  • Hjälper dig att byta dator
  • Tömmer gamla datorer och gör dem redo för återvinning eller kör in linux på dem och skänker bort dem.

Tel 08 37 21 00



Datorreparation Stockholm
Orrspelsvägen 13, Bromma

Arkiv

wiki.linux.se

Datorhjälp hemma

Datorhjälp hemma – 399 kr/tim efter RUT-avdrag

Vi kommer hem till dig i Stockholm området och hjälper dig med dator, skrivare, kablar, TV, nätverk och annat tekniskt.
Vi arbetar med Linux, Windows och Mac.

Klicka här för att läsa mer

Linuxtoday

  • Machine Learning in Linux: Dia – 1.6B Parameter Text to Speech Model
    Discover the power of Dia, a 1.6B parameter text-to-speech model for Linux. Explore its features and enhance your machine learning projects today. The post Machine Learning in Linux: Dia – 1.6B Parameter Text to Speech Model appeared first on Linux Today.
  • Raspberry Pi 5 Gets U-Boot Support from SUSE Engineers
    Discover how SUSE engineers have integrated U-Boot support for the Raspberry Pi 5, enhancing its capabilities and performance for developers and enthusiasts alike. The post Raspberry Pi 5 Gets U-Boot Support from SUSE Engineers appeared first on Linux Today.
  • How to Setup WireGuard VPN Server with WireGuard-UI on Ubuntu
    Learn how to set up a WireGuard VPN server with WireGuard-UI on Ubuntu. Follow our step-by-step guide for secure and efficient remote access. The post How to Setup WireGuard VPN Server with WireGuard-UI on Ubuntu appeared first on Linux Today.
  • Linux NTFS Manager
    Manage your NTFS partitions seamlessly with Linux NTFS Manager. Enjoy easy access, file transfers, and enhanced compatibility for your Linux system. The post Linux NTFS Manager appeared first on Linux Today.
  • Debian Version of APT to Depends on Rust
    Discover how the Debian version of APT is evolving to depend on Rust, enhancing performance and security for package management. Learn more today! The post Debian Version of APT to Depends on Rust appeared first on Linux Today.
  • Linux Hits 3% Usage on Valve’s Steam Gaming Platform
    Discover how Linux has reached a significant 3% usage on Valve's Steam platform, marking a milestone for gaming on open-source systems. The post Linux Hits 3% Usage on Valve’s Steam Gaming Platform appeared first on Linux Today.
  • Devuan 6 “Excalibur” Released with Debian 13 “Trixie” Base
    Discover the features of Devuan 6 "Excalibur," built on the Debian 13 "Trixie" base. Explore its enhancements and improvements for a seamless experience. The post Devuan 6 “Excalibur” Released with Debian 13 “Trixie” Base appeared first on Linux Today.
  • Heisenberg: Open-source Software Supply Chain Health Check Tool
    Discover Heisenberg, the open-source tool designed to assess and enhance your software supply chain's health. Ensure security and efficiency today. The post Heisenberg: Open-source Software Supply Chain Health Check Tool appeared first on Linux Today.
  • Incus 6.18 Container & Virtual Machine Manager Released
    Discover the new features of Incus 6.18, the latest Container & Virtual Machine Manager. Enhance your virtualization experience with improved performance and usability. The post Incus 6.18 Container & Virtual Machine Manager Released appeared first on Linux Today.
  • 15 Useful Free and Open Source DNS Clients
    Discover 15 powerful free and open source DNS clients that enhance your internet experience. Explore features, benefits, and installation tips today! The post 15 Useful Free and Open Source DNS Clients appeared first on Linux Today.

ANNONS

  • Starta inte datorn?
  • Hjälp att byta datorn?
  • Trasig laptop
  • Laggar speldatorn?

Telefon 08 37 21 00
E-post kontakt@datorhjalp.se
Hemsida : PC-Service.se

Debugpoint

9to5linux.com

  • KDE Frameworks 6.20 Adds a Fancier Push/Pop Animation to System Settings Pages
    KDE Frameworks 6.20 open-source software suite is out now with various improvements and bug fixes for KDE apps and the Plasma desktop. Here’s what’s new! The post KDE Frameworks 6.20 Adds a Fancier Push/Pop Animation to System Settings Pages appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is […]
  • Proton 10 Released with Support for Far Horizon, The Riftbreaker, and Other Games
    Proton 10 is now available with support for Mary Skelter: Nightmares, Fairy Fencer F Advent Dark Force, Far Horizon, and many other Windows games. The post Proton 10 Released with Support for Far Horizon, The Riftbreaker, and Other Games appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is […]
  • openSUSE Tumbleweed Now Defaults to GRUB2-BLS Bootloader for New UEFI Installs
    openSUSE Tumbleweed distribution switches from GRUB2 to GRUB2-BLS as default bootloader when installed via YaST. The post openSUSE Tumbleweed Now Defaults to GRUB2-BLS Bootloader for New UEFI Installs appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
  • Debian-Based Tails 7.2 Released with Tor Browser 15 Anonymous Web Browser
    Tails 7.2 anonymous Linux OS is now available for download with Tor Browser 15.0.1, Mozilla Thunderbird 140.4, and Linux kernel 6.12.57 LTS. The post Debian-Based Tails 7.2 Released with Tor Browser 15 Anonymous Web Browser appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not […]
  • LibreOffice 25.8.3 Office Suite Is Now Available for Download with 70 Bug Fixes
    LibreOffice 25.8.3 is now available for download as the third maintenance update to the latest LibreOffice 25.8 office suite series with 70 bug fixes. The post LibreOffice 25.8.3 Office Suite Is Now Available for Download with 70 Bug Fixes appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is […]
  • Thunderbird 145 Enables Support for DNS over HTTPS, Drops 32-Bit Linux Binaries
    Mozilla Thunderbird 145 open-source email client is now available for download with support for DNS over HTTPS and other changes. Here's what's new! The post Thunderbird 145 Enables Support for DNS over HTTPS, Drops 32-Bit Linux Binaries appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for […]
  • Valve Announces Steam Machines, Steam Controller, and Steam Frame VR Headset
    Valve announces Steam Machines, Steam Controller, and Steam Frame VR headset products, scheduled for 2026. Here's a first look! The post Valve Announces Steam Machines, Steam Controller, and Steam Frame VR Headset appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
  • Systemd-Free Nitrux 5.0 Officially Released with Hyprland Desktop, Linux 6.17
    Nitrux 5.0 distribution is now available for download with Linux kernel 6.17 and full Hyprland desktop environment. Here's what else is new! The post Systemd-Free Nitrux 5.0 Officially Released with Hyprland Desktop, Linux 6.17 appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
  • qBittorrent 5.1.3 Adds Native Wayland Support to the AppImage, Fixes More Bugs
    qBittorrent 5.1.3 open-source BitTorrent client is now available for download with various bug fixes and improvements. Here’s what’s changed! The post qBittorrent 5.1.3 Adds Native Wayland Support to the AppImage, Fixes More Bugs appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for readers, not scrapers.
  • Firefox 146 Is Now Available for Public Beta Testing, Here’s What to Expect
    Firefox 146 open-source web browser is now available for public beta testing with various new features and improvements. Here’s what to expect! The post Firefox 146 Is Now Available for Public Beta Testing, Here’s What to Expect appeared first on 9to5Linux – do not reproduce this article without permission. This RSS feed is intended for […]
  • 10 Things to do After Installing Fedora 43 (Workstation)
    Here’s a quick rundown of the 10 quick tips after you finish installing a brand new Fedora 43 workstation edition. In this article, we will talk about a few post-install tips for Fedora 43 workstation edition. These are a good starting point if you are installing a fresh Fedora 43 workstation edition for all user… […]
  • Upgrade to Fedora 43 from Fedora 42 Workstation (GUI and CLI)
    Here’s are the quick steps on how you can upgrade to the Fedora 43 version. Fedora 43 is officially available for download and the upgrade channels are now available. This release brings the latest and greatest GNOME 49 desktop for workstation editions, refinements to KDE Plasma desktop and more updates. You can read our full… […]
  • Xubuntu 25.10: Best New Features
    We outline the list of new features of Xubuntu 25.10 release and additional updates for this version. Xubuntu 25.10: Core New Features Kernel and core updates Xubutnu 25.10 is based on the Ubuntu 25.10 Questing Quokka release. It is powered by Linux Kernel 6.17. This Kernel offers latest hardware and software updates. Linux kernel 6.17… […]
  • Ubuntu 25.10: Top New Features
    We round up the best new features of the Ubuntu 25.10 (“Questing Quokka”) release. Ubuntu 25.10, released on October 9, 2025 (supported until July 2026 for 9 months), is the final interim release before the next long term version of Ubuntu 26.04 LTS. This release prioritizes modernization through Rust-based components for improved security and new… […]
  • Fedora 43 Workstation: Best New Features
    We round up the best new feature set of Fedora 43 workstation release (upcoming). Fedora 43 release is packed with enhancements and core updates. The release is currently going thru beta phase and the release is expected within few days. This page highlights key system-wide and self-contained changes that make Fedora 43 a release to… […]
  • GNOME 49: Best New Features
    Here’s a quick rundown of the best new features of the latest GNOME 49 desktop environment. GNOME 49, code named “Brescia” is released a while back on September 19, 2025. This release mostly focusses on the software stack updates, concentrated on the native applications and core updates. While it is not that of a fancy… […]
  • Upgrade to Fedora 42 from Fedora 41 Workstation (GUI and CLI)
    Here are the steps you need to upgrade your Fedora 41 workstation edition to Fedora 42. Fedora 42 is officially available for download and the upgrade channels are now available. This release brings the latest and greatest GNOME 48 desktop for workstation editions, refinements to KDE Plasma desktop, new Cosmic Spin and more. You may… […]
  • How to Upgrade to Debian 13 from Debian 12
    Here’s how you can upgrade to Debian 13 “Trixie” from Debian 12 “Bookworm”. Debian 13 “Trixie” is released on August 9, 2025 with many new features and updates. If you are running Debian 12 “bookworm”, you can plan to upgrade your desktop or server now. However, it is recommended that you wait until the first… […]
  • How to Connect to Fedora or Ubuntu Linux from macOS
    Here’s a quick tutorial on how you can connect your Ubuntu or Fedora Linux from macOS. Accessing your Linux machine (like Ubuntu or Fedora) from a Mac can be incredibly useful for development, server management, or just seamless productivity. While tools like SSH or VNC exist, using Remote Desktop Protocol (RDP) provides a full graphical… […]
  • Debian 13 “Trixie”: Best New Features
    A roundup of the key features of the latest Debian 13 release. After almost two years of development, Debian 13 “Trixie” is now available to download and upgrade from Debian 12. This critical release brings few major updates including latest packages across modules, Linux Kernel 6.12 LTS, modern desktop environments and more. Trixie will be… […]


Skapa QR koder

Etikett: Skadlig kod

  • Misstänkt sabotage mot Xubuntu.org – användare varnas för falsk installation med trojan

    Ett misstänkt intrång på den officiella webbplatsen för Linux-distributionen Xubuntu har väckt oro i open source-världen. Under flera timmar ska nedladdningsknappen på Xubuntu.org ha lett till en ZIP-fil innehållande en Windows-trojan istället för den riktiga installationen. Händelsen har fått experter att uppmana användare till försiktighet och att noggrant kontrollera sina nedladdningar. Det är inte den…

  • Plague – En ny osynlig Linux-bakdörr som utnyttjar PAM för att ta kontroll över system

    En ny bakdörr för Linux, kallad Plague, har identifierats och analyserats av säkerhetsforskare. Det rör sig om ett avancerat intrångsverktyg som integreras i systemets autentiseringsramverk (PAM) och möjliggör dold fjärråtkomst via SSH. Den är särskilt svår att upptäcka, lämnar få spår och fungerar även efter systemuppdateringar. Bakdörr via PAM-modul Plague är skriven som en PAM-modul,…