Zamiast Linuxa pobierali wirusa. Admini milczeli


Zamiast Linuxa pobierali wirusa. Admini milczeli

Oficjalna strona popularnej dystrybucji Linuksa Xubuntu została zhakowana. Cyberprzestępcy wstrzyknęli w nią złośliwy kod i podmienili wszystkie linki prowadzące do plików instalacyjnych systemu. Użytkownicy, którzy próbowali zgłosić problem, zostali zbanowani, a administratorzy witryny długo nie podejmowali żadnych działań naprawczych.

Na pozór nic nie wskazywało na włamanie. Strona wyglądała identycznie jak wcześniej, lecz wszystkie przyciski „Pobierz” kierowały do fałszywego archiwum ZIP z wirusem. Fałszywy plik znajdował się w katalogu witryny, dzięki czemu nawet doświadczeni użytkownicy mogli uznać go za autentyczny.

Xubuntu jest alternatywną wersją Ubuntu, która wykorzystuje lekkie środowisko graficzne Xfce zamiast GNOME. System zyskał popularność wśród użytkowników ceniących szybkość działania i klasyczny układ pulpitu. Tym razem jednak jego społeczność stanęła przed jednym z najpoważniejszych incydentów bezpieczeństwa w historii projektu.

Fałszywe pliki i nieaktywne linki

Gdy incydent wyszedł na jaw, twórcy Xubuntu zablokowali dostęp do zainfekowanego archiwum, ale nie przywrócili poprawnych odnośników. W efekcie przyciski pobierania pozostały nieaktywne, a próba kliknięcia kończyła się brakiem reakcji w każdej testowanej przeglądarce, także mobilnej.

Antywirusy natychmiast reagowały przy próbie pobrania fałszywego pliku, natomiast na komputerach pozbawionych ochrony przeglądarka zgłaszała błąd 503.

Luki w WordPressie pod lupą

Według portalu OpenNet strona Xubuntu.org została zbudowana na WordPressie, który często pada ofiarą ataków wykorzystujących nieaktualizowane wtyczki. Eksperci sugerują, że włamanie mogło być wynikiem wykorzystania jednej z takich luk. Nie ujawniono jednak, o którą wtyczkę chodziło ani kiedy dokładnie hakerzy uzyskali dostęp.

Trojan zamiast Linuksa

Fałszywe archiwum o nazwie Xubuntu-Safe-Download.zip ważyło zaledwie 22 kilobajty, co już powinno wzbudzić podejrzenia, ponieważ prawdziwy obraz ISO systemu zajmuje kilka gigabajtów. W środku znajdował się plik wykonywalny dla systemu Windows.

Analiza serwisu VirusTotal wykazała, że 23 programy antywirusowe oznaczają go jako złośliwe oprogramowanie. Kaspersky rozpoznaje go jako HEUR:Trojan.MSIL.Agent.gen, a BitDefender klasyfikuje jako Trojan.GenericKD.77587264.

Po uruchomieniu program wyświetlał interfejs imitujący wybór wersji Xubuntu. Kliknięcie przycisku „Generuj link do pobrania” uruchamiało proces instalacji trojana, który tworzył plik elzvcf.exe w katalogu AppDataRoaming. Plik był dodawany do autostartu przez wpis w rejestrze. Według OpenNet trojan analizował zawartość schowka i podmieniał adresy portfeli kryptowalutowych, przechwytując środki ofiar.

Przebieg włamania

Nie ustalono, kiedy dokładnie hakerzy podmienili linki. Analiza archiwum Internet Archive wskazuje, że incydent miał miejsce pomiędzy 11 a 18 października 2025 roku. Wersja strony z 11 października wciąż zawierała prawidłowe pliki, natomiast tydzień później wszystkie odnośniki prowadziły już do złośliwego oprogramowania.

Część infrastruktury, w tym linki do serwerów lustrzanych, pozostała nietknięta. Możliwe, że cyberprzestępcy skupili się wyłącznie na głównym serwerze i nie zauważyli innych lokalizacji plików.

Sygnały ostrzegawcze zignorowane

Ślady wcześniejszej aktywności włamywaczy mogą sięgać nawet września 2025 roku. Na blogu Xubuntu pojawił się wówczas komentarz użytkownika, który informował o wyświetlaniu reklam kasyna. Post został szybko usunięty, a społeczność nie połączyła incydentu z potencjalnym naruszeniem bezpieczeństwa. Dziś wielu specjalistów wskazuje, że był to pierwszy sygnał nadchodzącego ataku.

Spodobało Ci się? Podziel się ze znajomymi!

Pokaż / Dodaj komentarze do:

Zamiast Linuxa pobierali wirusa. Admini milczeli
 0
Kolejny proponowany artykuł z kategorii
Kolejny proponowany artykuł z kategorii
Kolejny proponowany artykuł z kategorii
Kolejny proponowany artykuł z kategorii