近日,流行的Ubuntu社区维护版本Xubuntu的官方网站遭到黑客入侵。攻击者篡改了其下载页面,导致用户在尝试下载Linux发行版时,实际下载到的却是一个包含Windows恶意软件的恶意压缩包。
事件详情
该事件最初于周日在Reddit社区被曝光。多名用户报告称,Xubuntu官网的下载页面没有按预期提供.torrent 种子文件,而是指向了一个名为Xubuntu-Safe-Download.zip的可疑压缩包。
该压缩包内含一个名为TestCompany.SafeDownloader.exe的可执行文件和一个tos.txt文本文件。警觉的用户发现tos.txt中的版权声明异常,显示为“Copyright(c)2026Xubuntu.org”——这是一个尚未到来的年份(当前为2025年),暴露了其伪造的痕迹。
恶意软件分析
安全分析人士指出,这个.exe文件是一个针对Windows系统的剪贴板劫持器(Clipboard Hijacker)。
持久化机制:恶意软件一旦执行,会将其自身安装到AppData文件夹下,并通过设置注册表启动项来实现持久化。
攻击目的:它的主要目标是静默监控受害者的剪贴板。当检测到用户复制加密货币钱包地址时,它会迅速将其替换为攻击者控制的钱包地址,从而在用户转账时神不知鬼不觉地窃取资金。
攻击动机与影响
有评论推测,此次攻击的时机非常微妙。鉴于Windows10即将终止支持,大量用户正在寻找替代操作系统,而Xubuntu这样用户友好的Linux发行版是热门迁移选项之一。攻击者可能试图利用这些不熟悉Linux下载和验证流程的“新用户”群体。
值得庆幸的是,根据目前的信息,似乎只有Torrent 种子文件的下载链接遭到了篡改。
官方回应与处置
Xubuntu贡献者Sean Davis已经公开确认了此次安全事件。他表示,团队正在与Canonical IS (Canonical 信息安全团队) 合作解决此问题。
Davis指出,由于相关服务器并非由Xubuntu团队直接管理,他们的处置能力有限。目前,团队已紧急将受感染的下载页面下线。
此次事件也暴露了其基础设施的薄弱环节。Davis称,他们将加快从“老化的WordPress实例”迁移到静态网站的进程,以从根本上提升网站安全性。
安全建议
对于近期需要下载Xubuntu的用户,官方和安全社区给出以下强烈建议:
使用官方镜像源:避免使用Xubuntu官网(目前已下线下载页),转而访问 Ubuntu官方的CD/ISO镜像服务器 (official UbuntuCD/ISOimage server) 获取纯净的系统镜像。
务必校验哈希值:无论从何处下载,在安装前必须验证下载文件的校验和 (Checksum),并与 Canonical官方提供的哈希值进行仔细比对,确保镜像文件未被篡改或损坏。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
