Xubuntu.org がハッキングされた可能性がある

 (old.reddit.com)
1 ポイント 投稿者 GN⁺ 2025-10-20 | 1件のコメント | WhatsAppで共有
  • 最近、利用者が Xubuntu.org の通常とは異なる構成と不審な活動を確認した
  • 一部のリンクが 疑わしい外部サイト へ接続したり、検証されていないファイルのダウンロードにつながる現象が確認された
  • コミュニティでは フィッシングやマルウェア配布 の可能性に警戒する雰囲気が形成されつつある
  • 公式の Xubuntu 側では、正確な侵害発生の有無についての調査が進行中である
  • 利用者には、安全が確認されるまで全てのダウンロードおよびログイン操作を停止することが推奨されている

関連記事

1件のコメント

 
GN⁺ 2025-10-20
Hacker Newsの意見

  • このマルウェアの主な機能は、クリップボード内の暗号資産ウォレットアドレスを検出し、攻撃者のアドレスにすり替えること

    • Bitcoin (bc1): bc1qrzh7d0yy8c3arqxc23twkjujxxaxcm08uqh60v
    • Litecoin (ltc1/L/M): LQ4B4aJqUH92BgtDseWxiCRn45Q8eHzTkH
    • Ethereum (0x): 0x10A8B2e2790879FFCdE514DdE615b4732312252D
    • Dogecoin (D): DQzrwvUJTXBxAbYiynzACLntrY4i9mMs7D
    • Tron (T): TW93HYbyptRYsXj1rkHWyVUpps2anK12hg
    • Ripple (r): r9vQFVwRxSkpFavwA9HefPFkWaWBQxy4pU
    • Cardano (addr1): addr1q9atfml5cew4hx0z09xu7mj7fazv445z4xyr5gtqh6c9p4r6knhlf3jatwv7y72deah9un6yettg92vg8gskp04s2r2qren6tw
      ほかに悪意ある挙動をしない保証はないとも述べている
    • ブロックチェーン上で実際に攻撃者が資金を受け取っているか確認できるのか気になるし、この手の攻撃でどれほど儲かるのか知りたい
    • 最近でもブラウザ上のWebサイトがクリップボードの内容を読めるのか気になる
    • 記事タイトルを見ただけでこういう攻撃だろうと思った。世間知らずだったのかもしれないが、昔はオープンソースソフトウェアをそのまま信頼していて、当時は何の前提知識もなくディストリビューションやパッケージをすぐインストールしていた。今では本当に必要なものしか入れなくなった

  • 元スレッドには固定コメントがある https://old.reddit.com/r/xubuntu/comments/1oa43gt/xubuntuorg_might_be_compromised/

    • 「ちょっとしたミスだった」という主張はものすごい過小表現だ。こんな出来事を「ミス」と呼ぶこと自体、そのコメントを残した管理者をむしろ疑わしく見せている。悪意あるexeとxubuntu向け文言が入ったzipファイルをわざわざ用意してサーバーに上げ、さらにトレントリンクまでつなぐことが、ミスで起こるとは信じられない
    • 「ミスだった」と曖昧に言いながら、マルウェアかどうかの確認もしないのは、奇妙というレベルを超えて非常に疑わしい

  • Xubuntu公式Webサイトで最新ISOファイルのチェックサムを確認したが、正常に見えた
    https://mirror.us.leaseweb.net/ubuntu-cdimage/xubuntu/releases/24.04/release/

    • 私の理解では、公式イメージそのものではなく、トレントのダウンロードリンクから壊れたzipファイルを取得したことで生じる問題だ
      「トレントダウンロードにはzipファイル内に怪しいexeとtos.txtが入っている。tosには2026年の著作権表記があり、今は2025年なので不審だ。file-rollerでexeを開いたが、.torrentファイルは見つからなかった」
    • SHA256SUMSファイルの基準となるものをどこから入手したのか気になるし、そのチェックサムファイルのgpg署名も信頼できる場所から取得したのか確認したのか気になる
    • 攻撃者が改ざんされたISOファイルを置けるなら、チェックサムファイルも一緒に改ざんできるはずだ。今のようにhttpsで安全にダウンロードする時代では、チェックサム自体の効用にも疑問が湧く。チェックサムを信頼するには、信頼できる出所からの体系的な信頼チェーンが必要だ

  • スレッドで怖かったのは、昨年のドメイン変更後も偽のlubuntuサイトがまだ残っている点だ。数週間前にLubuntuをインストールしたが、幸い本物のサイトから取得していたようだ。偽サイトは19.04までのバージョンしか提供していない
    久しぶりにLubuntuを入れたので、最近のドメイン乗っ取り問題を知らなかった。今日検索してみても、まだこれといった追加情報は見つからなかった

    • そのWebサイトは公式サイトではないが、さまざまなソフトウェア情報をAIで冗長に書き散らした記事と広告で埋め尽くし、公式ダウンロードリンクだけを張る典型的なWordPress広告サイトだ
      BloxstrapのようなRobloxランチャーも似たようなもので、公式URLは https://bloxstraplabs.com だが、bloxstrap[.]net などの偽サイトが検索上位に多く出てくる
      現時点ではマルウェアを配布していないが、状況はいつでも変わりうる
    • uBlock Originを使えば、lubuntu.net にアクセスしたとき警告してくれるので助かる

  • 疑いを招いている要素のひとつが著作権年だ。2025年に (C) 2026 となっているのは妙に見えるかもしれないが、これは昔ながらの出版業界でも時々使われるやり方だ。9月に翌年の年号が入った教科書を受け取って、「未来から来た本だ」と驚いたことがある

  • こうした報告を見るたびに気になるのは、人々が本当に暗号資産ソフトウェアウォレットを普段使いのPCに置いているのかということだ。自分は暗号資産専用にしか使わないノートPCを別に保管している。これ以外に安全な方法は思いつかない

    • 実際に暗号資産関連の作業をデスクトップやラップトップでやる人は少数派だ。ほとんどの人はスマートフォン1台ですべて済ませている。2台のデバイスを持っている人も少なく、そのうち1台を暗号資産専用にする人となると本当にごくわずかだ
    • 利便性の力は思っている以上に大きい。しかも自分のウォレットにはほとんど何も入っていないので、ハッカーが侵入しても持っていけるものはないだろうと思っている。仮に盗まれても大した被害にならない程度の「空っぽの財布」だ

  • こういう問題から得られる教訓は、チェックサム検証をもっと厳格にすべきだということだ。サイトが侵害されればチェックサムも好きに改ざんできる。すべての主要ディストリビューション、あるいは可能なら全部のディストリビューション向けに、中央集約型のチェックサム検証システムが必要な時期なのかもしれない

  • 今回のケースでは、ISOを使ってWindowsを完全に消してLinuxを入れてしまえば、マルウェアの効力はほぼ無意味になりそうだ

    • でもライブISOで試しただけでWindowsに戻ったら感染するのでは? 誰かがLinuxに乗り換えさせようとしているみたいにも感じる :P

  • アーカイブされたRedditスレッドへのリンク

    • こういうリンクはありがたい。自分のようにモバイルでRedditを開くとアプリが強制起動されて、戻るボタンの挙動までおかしくなってとても不便になる

  • 誰かがXFCE向けのWaylandコンポジタをひそかに追加したのでは、という冗談