Xubuntu.org pourrait avoir été compromis

 (old.reddit.com)
1 points par GN⁺ 2025-10-20 | 1 commentaires | Partager sur WhatsApp
  • Des utilisateurs ont récemment repéré une structure inhabituelle et une activité suspecte sur Xubuntu.org.
  • Certains liens mènent vers des sites externes suspects ou peuvent conduire à des téléchargements de fichiers non vérifiés.
  • La communauté se montre vigilante face à une possible attaque de phishing ou diffusion de logiciels malveillants.
  • Le côté officiel de Xubuntu indique qu’une enquête est en cours pour confirmer une éventuelle compromission.
  • Les utilisateurs sont invités à arrêter tous les téléchargements et connexions jusqu’à ce que la sécurité soit confirmée.

À lire aussi

1 commentaires

 
GN⁺ 2025-10-20
Avis sur Hacker News

  • La principale fonction de ce malware est de détecter les adresses de portefeuilles de cryptomonnaies dans le presse-papiers et de les remplacer par l’adresse de l’attaquant

    • Bitcoin (bc1): bc1qrzh7d0yy8c3arqxc23twkjujxxaxcm08uqh60v
    • Litecoin (ltc1/L/M): LQ4B4aJqUH92BgtDseWxiCRn45Q8eHzTkH
    • Ethereum (0x): 0x10A8B2e2790879FFCdE514DdE615b4732312252D
    • Dogecoin (D): DQzrwvUJTXBxAbYiynzACLntrY4i9mMs7D
    • Tron (T): TW93HYbyptRYsXj1rkHWyVUpps2anK12hg
    • Ripple (r): r9vQFVwRxSkpFavwA9HefPFkWaWBQxy4pU
    • Cardano (addr1): addr1q9atfml5cew4hx0z09xu7mj7fazv445z4xyr5gtqh6c9p4r6knhlf3jatwv7y72deah9un6yettg92vg8gskp04s2r2qren6tw
      Il n’y a aucune garantie qu’il ne fasse pas aussi d’autres actions malveillantes
    • Je me demande s’il serait possible de vérifier sur la blockchain si l’attaquant reçoit réellement de l’argent, et combien ce type d’attaque peut rapporter
    • Je me demande si, de nos jours, les sites web peuvent encore lire le contenu du presse-papiers depuis le navigateur
    • Rien qu’en lisant le titre de l’article, je me suis dit que ce devait être ce genre d’attaque. C’est peut-être naïf, mais autrefois je faisais simplement confiance aux logiciels open source ; à l’époque, j’installais directement des distributions ou des paquets sans aucune connaissance particulière. Maintenant, je n’installe plus que ce dont j’ai absolument besoin

  • Il y a un commentaire épinglé dans le fil source https://old.reddit.com/r/xubuntu/comments/1oa43gt/xubuntuorg_might_be_compromised/

    • Prétendre que c’était « un simple oubli » est un euphémisme énorme ; qualifier cela d’« erreur » me rend au contraire encore plus méfiant envers l’administrateur qui a laissé ce commentaire. J’ai du mal à croire qu’on prépare par erreur un fichier zip contenant un exe malveillant et du texte lié à Xubuntu, qu’on le mette sur le serveur, puis qu’on y relie même un lien torrent
    • Dire vaguement que « c’était une erreur » sans même vérifier si c’est un malware dépasse l’étrange et devient extrêmement suspect

  • J’ai vérifié la somme de contrôle du dernier fichier ISO sur le site officiel de Xubuntu, et cela semble normal
    https://mirror.us.leaseweb.net/ubuntu-cdimage/xubuntu/releases/24.04/release/

    • Si j’ai bien compris, le problème vient du fait qu’on télécharge un fichier zip compromis via le lien de téléchargement torrent au lieu de l’image officielle
      « Le téléchargement torrent contient un exe suspect et un tos.txt dans le zip ; tos affiche une mention de copyright 2026 alors qu’on est en 2025, ce qui paraît suspect ; j’ai ouvert l’exe avec file-roller mais je n’ai pas trouvé de fichier .torrent »
    • Je me demande d’où vient la référence du fichier SHA256SUMS, et si la signature gpg de ce fichier de sommes de contrôle a bien été téléchargée depuis une source fiable
    • Si un attaquant peut mettre en ligne un fichier ISO modifié, il peut probablement aussi modifier le fichier de sommes de contrôle. À l’époque des téléchargements sécurisés en https, je m’interroge sur l’utilité même des checksums ; pour leur faire confiance, il faut une chaîne de confiance systématique depuis une source fiable

  • Ce qui m’a fait peur dans le fil, c’est qu’après le changement de domaine l’an dernier, le faux site Lubuntu existe toujours. J’ai installé Lubuntu il y a quelques semaines, mais heureusement je crois l’avoir téléchargé depuis le vrai site. Le faux site ne propose que des versions jusqu’à la 19.04
    J’ai réinstallé Lubuntu pour la première fois depuis longtemps et je n’étais pas au courant des récents problèmes de détournement de domaine. Même en cherchant aujourd’hui, je n’ai pas encore trouvé beaucoup d’informations supplémentaires

    • Ce site n’est pas le site officiel, mais plutôt un site WordPress publicitaire typique, rempli d’articles verbeux générés par IA sur divers logiciels, avec simplement des liens vers les téléchargements officiels
      On voit la même chose avec des lanceurs Roblox comme Bloxstrap : l’URL officielle est https://bloxstraplabs.com, mais de faux sites comme bloxstrap[.]net apparaissent souvent très haut dans les résultats de recherche
      Pour l’instant, ils ne distribuent pas de malware, mais la situation peut changer à tout moment
    • Avec uBlock Origin, on reçoit un avertissement en visitant lubuntu.net, donc ça va

  • L’un des éléments jugés suspects est l’année de copyright : voir (C) 2026 en 2025 peut sembler étrange, mais c’est une pratique qu’on voit parfois aussi dans l’édition traditionnelle. Il m’est déjà arrivé, en septembre, de recevoir un manuel daté de l’année suivante et de me dire en plaisantant que c’était un « livre venu du futur »

  • Chaque fois que je vois ce type de rapport, je me demande si des gens gardent vraiment leur portefeuille logiciel de cryptomonnaie sur le PC qu’ils utilisent au quotidien. Moi, je garde un ordinateur portable séparé, utilisé uniquement pour la crypto ; je ne vois pas de méthode plus sûre que cela

    • En réalité, peu de gens gèrent leurs cryptos depuis un desktop ou un laptop. La plupart font tout depuis un smartphone. Il y a déjà peu de gens qui ont deux appareils, alors avoir une machine dédiée uniquement à la crypto, c’est vraiment une toute petite minorité
    • La force de la commodité dépasse ce qu’on imagine, et en plus mon portefeuille est pratiquement vide, donc je pars du principe que même si un hacker entrait, il n’aurait rien à emporter. Même en cas de vol, ce serait un « portefeuille vide » avec un impact minime

  • Leçon à tirer : il faut être bien plus rigoureux dans la vérification des checksums. Si le site est compromis, les sommes de contrôle peuvent l’être aussi. Il est temps d’avoir un système centralisé de vérification des checksums pour toutes les principales distributions, voire pour toutes

  • Dans ce cas précis, si on efface complètement Windows avec l’ISO pour installer Linux, l’impact du malware devient quasiment nul

    • Mais si on teste juste l’ISO en live puis qu’on revient sur Windows, on ne risque pas d’être infecté ? On dirait presque que quelqu’un est déterminé à pousser les gens vers Linux :P

  • Lien vers le fil Reddit archivé

    • Merci pour ce lien ; sur mobile, ouvrir Reddit me force souvent à lancer l’app et casse la navigation retour, ce qui est vraiment pénible

  • Blague sur quelqu’un qui aurait ajouté secrètement un compositeur Wayland pour XFCE