Xubuntu: strona domowa hostowała trojana

Xubuntu to półoficjalny "spin" Ubuntu, domyślnie stosujący środowisko pulpitowe Xfce. Projekt rozpoczęto dwadzieścia lat temu i od tego czasu każdemu nowemu wydaniu Ubuntu towarzyszy odpowiadająca mu wersja Xubuntu, wraz z wariantami LTS o przedłużonym wsparciu.

Projekt wydaje się być bardzo kiepsko wspierany. Mimo wydania wersji 25.10, główna strona mówi o wersji 24.04, a najnowszy artykuł na blogu projektu pochodzi z 2021 roku i dotyczy dawno nieaktualnego przedsięwzięcia testowego. Dział programisty i tablica postępów prac jest z kolei "zamrożona" w roku 2020. Lista dyskusyjna też świeci pustkami: pojawia się na niej jedna wiadomość miesięcznie.

Złośliwy plik wykonywalny, serwowany po kliknięciu przycisku "Download", hostowany był na serwerze projektu pod adresem wp-content, co sugeruje wykorzystanie dziury w nieaktualnej wersji WordPressa lub którejś z jego wtyczek. Plik został już usunięty - wraz z całym przyciskiem pobierania. Obecnie Download zgłasza błąd HTTP 301. Pobranie Xubuntu jest dalej możliwe bezpośrednio z mirrorów.

Serwowany trojan, mimo wykorzystania doskonałego punktu publikacji (strona pobierania lekkiej dystrybucji w tygodniu zakończenia wsparcia dla Windows 10!) jest bardzo kiepskim, amatorsko napisanym i natychmiast wykrywalnym atakującym systemowy schowek Windows. Zdecydowanie "zmarnowano" tu okazję, choć nie pierwszy raz przestępcy stosują obiecujący mechanizm by dostarczyć kiepskiego wirusa.

A udawany menedżer pobierania Xubuntu istotnie jest kiepski: jeżeli stan schowka się zmienia, program ten podmienia jego zawartość na inną, w postaci adresu portfela kryptowalut. Liczy zatem na łut szczęścia, w ramach którego ktoś uruchamiający aplikację do pobierania Xubuntu jednocześnie dokonywał transakcji kryptowalutowej, kopiując adres portfela do schowka. Taki program nie tylko błyskawicznie wykrywają antywirusy, ale także sam użytkownik, któremu przestanie poprawnie działać schowek.

W wątku na Reddicie wypowiedział się jeden z deweloperów, informujący że prędkość aktualizacji silnika strony jest zależna od operatora hostingu (!), a migracja na stronę statyczną, do której nie da się tak łatwo włamać nie odbyła się, ponieważ zespół jest "mały i bardzo zajęty". Nie podmieniono plików ISO z dystrybucją, ich mirrorów ani pakietów składowych.

To kolejny atak na łańcuch dostaw oprogramowania, wykorzystujący kiepską opiekę nad ważnym oprogramowaniem. Niedawno problem tego rodzaju pojawił się w środowisku NPM, a najpopularniejszym przykładem ataku na łańcuch dostaw jest włamanie do SolarWinds. Wpadka z Xubuntu pokazuje przy okazji podważalną wiarygodność mniej popularnych forków dystrybucji Linuksa, utrzymywanych często hobbystycznie przez mały zespół w nieregularny sposób.