É possível que o Xubuntu.org tenha sido comprometido

Comentário no Hacker News

• A principal função desse malware é detectar endereços de carteiras de criptomoedas na área de transferência e substituí-los pelo endereço do atacante

  • Bitcoin (bc1): bc1qrzh7d0yy8c3arqxc23twkjujxxaxcm08uqh60v
  • Litecoin (ltc1/L/M): LQ4B4aJqUH92BgtDseWxiCRn45Q8eHzTkH
  • Ethereum (0x): 0x10A8B2e2790879FFCdE514DdE615b4732312252D
  • Dogecoin (D): DQzrwvUJTXBxAbYiynzACLntrY4i9mMs7D
  • Tron (T): TW93HYbyptRYsXj1rkHWyVUpps2anK12hg
  • Ripple (r): r9vQFVwRxSkpFavwA9HefPFkWaWBQxy4pU
  • Cardano (addr1): addr1q9atfml5cew4hx0z09xu7mj7fazv445z4xyr5gtqh6c9p4r6knhlf3jatwv7y72deah9un6yettg92vg8gskp04s2r2qren6tw
    Vale destacar que não há garantia de que ele não faça outras ações maliciosas também
  • Fico curioso para saber se dá para verificar no blockchain se o atacante está realmente recebendo dinheiro, e quanto esse tipo de ataque rende
  • Fico me perguntando se hoje em dia os sites ainda conseguem ler o conteúdo da área de transferência no navegador
  • Só de ler o título da notícia já imaginei que seria um ataque desse tipo; posso estar sendo ingênuo, mas antigamente eu simplesmente confiava em software open source, naquela época eu instalava distribuições ou pacotes direto sem nenhum conhecimento prévio, agora só instalo o que é realmente necessário

• Há um comentário fixado no tópico original https://old.reddit.com/r/xubuntu/comments/1oa43gt/xubuntuorg_might_be_compromised/

  • Dizer que “foi um pequeno erro” é um baita eufemismo; chamar isso de “erro” me faz até desconfiar mais do administrador que deixou o comentário, porque é difícil acreditar que alguém preparou manualmente um zip com um exe malicioso e texto sobre o xubuntu, subiu isso ao servidor e ainda vinculou um link de torrent tudo por engano
  • Ficar no meio-termo dizendo “foi um erro” sem nem verificar se havia malware já passa de estranho e se torna altamente suspeito

• Verifiquei o checksum do ISO mais recente no site oficial do Xubuntu e ele parece normal
  https://mirror.us.leaseweb.net/ubuntu-cdimage/xubuntu/releases/24.04/release/

  • Pelo que entendi, o problema acontece quando se baixa um zip comprometido pelo link de download via torrent em vez da imagem oficial
    “O download por torrent contém um exe suspeito e um tos.txt dentro do zip; o tos tem copyright de 2026, o que é suspeito porque ainda estamos em 2025; abri o exe com o file-roller, mas não encontrei nenhum arquivo .torrent”
  • Fico curioso sobre de onde veio a referência do arquivo SHA256SUMS, e se também foi verificado se a assinatura gpg desse arquivo de checksum foi baixada de uma fonte confiável
  • Se o atacante consegue publicar um ISO adulterado, então também pode adulterar junto o arquivo de checksum; hoje em dia, com downloads seguros via https, começo a duvidar da utilidade do checksum por si só, porque para confiar nele é preciso uma cadeia de confiança estruturada vinda de uma fonte confiável

• O que mais assustou no tópico foi que, depois da mudança de domínio no ano passado, ainda existe um site falso do Lubuntu; instalei o Lubuntu algumas semanas atrás e, felizmente, acho que baixei do site verdadeiro, o site falso só oferece versões até a 19.04
  Instalei o Lubuntu de novo depois de muito tempo e não sabia da recente questão de sequestro de domínio; mesmo pesquisando hoje, ainda não consegui encontrar mais informações

  • O site não é oficial, mas é aquele típico site de anúncios em WordPress, cheio de artigos prolixos gerados por IA sobre vários softwares e que no fim só apontam para o link oficial de download
    O mesmo acontece com lançadores do Roblox como o Bloxstrap: a URL oficial é https://bloxstraplabs.com, mas sites falsos como bloxstrap[.]net aparecem bastante no topo das buscas
    No momento eles não distribuem malware, mas isso pode mudar a qualquer hora
  • Se você usa uBlock Origin, ele avisa ao acessar lubuntu.net, então tudo bem

• Um dos pontos que levantou suspeita foi o ano de copyright; ver (C) 2026 em 2025 pode parecer estranho, mas isso é algo que às vezes também acontece na indústria editorial tradicional; certa vez recebi em setembro um material didático com o ano seguinte estampado e fiquei surpreso, como se fosse um “livro vindo do futuro”

• Sempre que vejo relatos assim, fico pensando se as pessoas realmente mantêm carteiras de software de criptomoedas no PC que usam no dia a dia; eu guardo um notebook separado usado exclusivamente para criptomoedas, não consigo imaginar outro jeito realmente seguro de fazer isso

  • Na prática, são poucas as pessoas que lidam com criptomoedas no desktop ou notebook; a maioria faz tudo pelo smartphone, poucas têm dois dispositivos e menos gente ainda dedicaria um deles exclusivamente para cripto
  • A força da conveniência é maior do que se imagina; além disso, minha carteira não tem quase nada, então penso que mesmo se um hacker invadisse não teria muito o que levar, é uma “carteira vazia” a ponto de, mesmo que fosse roubada, o prejuízo ser pequeno

• A lição aqui é que é preciso ser muito mais rigoroso na verificação de checksums; se o site for comprometido, os checksums também podem ser alterados à vontade; já passou da hora de existir um sistema centralizado de verificação de checksums para todas as principais distribuições, ou talvez para todas elas

• Neste caso, se você usar o ISO para apagar completamente o Windows e instalar Linux, o impacto do malware provavelmente se torna quase irrelevante

  • Mas se você só testar com um live ISO e depois voltar para o Windows, não acabaria infectado? Parece até que alguém está determinado a fazer as pessoas migrarem para Linux :P

• Link para o tópico arquivado no Reddit

  • Valeu por esse link; no celular, abrir o Reddit é muito incômodo para mim porque o app força a abertura e o botão de voltar fica todo quebrado

• Piada dizendo que alguém adicionou secretamente um compositor Wayland para o XFCE

  • Na verdade, existe mesmo um documento de roadmap do Wayland