Sajnálatos hír látott napvilágot a Linux közösségben: egy Reddit-felhasználó súlyos biztonsági problémára hívta fel a figyelmet, miszerint a Xubuntu hivatalos weboldala kompromittálódhatott, és rövid ideig kártevőt szolgáltathatott a letöltési felületen keresztül. A bejelentés szerint a weboldal Download gombja egy „Xubuntu-Safe-Download.zip” nevű fájlhoz irányított, amelyben egy Windows futtatható állomány rejtőzött. A VirusTotal elemzése alapján ez a fájl trójai programként lett azonosítva. A kártevő hamis telepítőként álcázta magát, és egy megtévesztő, „felhasználási feltételeket” tartalmazó dokumentumot is mellékelt, hogy legitim szoftvernek tűnjön.
Tartalomjegyzék
A kártevő egy crypto clipper típusú állomány volt
A jelentések szerint a fertőzött fájl valójában egy kriptocsalásra specializált „crypto clipper”, amely a vágólapra másolt kriptotárca-címeket lecseréli a támadó saját címeire, így a tranzakciók a felhasználó helyett a támadóhoz kerülhetnek. Az átirányítás nagyjából hat órán keresztül lehetett aktív, mielőtt a Xubuntu csapat eltávolította a gyanús linket. Jelenleg a weboldal letöltési gombja már nem működik, hanem visszairányítja a látogatót a főoldalra, ami megerősíti, hogy az incidenssel kapcsolatban vizsgálat folyik.
A projektcsapat egyelőre hallgat, a közösség óvatosságra int
A Xubuntu fejlesztőcsapat ezidáig nem adott ki hivatalos közleményt, így egyelőre sem megerősíteni, sem cáfolni nem lehet a feltételezett támadás tényét. Az Ubuntu Discourse fórumon is megjelent a téma, de a moderátorok átmenetileg zárolták a bejegyzést, amíg a vizsgálat le nem zárul. A közösségi visszajelzések alapján a felhasználók azt tanácsolják, hogy aki a kérdéses időszakban bármit letöltött a Xubuntu weboldaláról, ellenőrizze az ISO-fájlok hitelességét SHA-256 ellenőrzéssel vagy GPG aláírással, illetve inkább a Canonical által hitelesített tükörszerverekről szerezze be a telepítőképeket.
A támadások új hulláma a Linux ökoszisztémában
A mostani eset nem egyedülálló, hanem egy aggasztó tendencia része, amely az utóbbi hónapokban több jelentős Linux-projektet is érintett. Az Arch AUR csomagkezelőben rosszindulatú csomagok bukkantak fel, a Red Hat GitLab-szerverét feltörték, míg a Fedora és az Arch Linux infrastruktúrája DDoS-támadások célpontjává vált, ideiglenesen akadályozva a szolgáltatásokat.
Noha ezek az incidensek különböző természetűek, egyértelműen jelzik, hogy a nyílt forráskódú projektek is egyre gyakrabban kerülnek a rosszindulatú támadások célkeresztjébe. Az ilyen támadások nemcsak technikai kárt okoznak, hanem a közösségi bizalom megingatásával is rombolják az ökoszisztémát.
