Es posible que Xubuntu.org haya sido comprometido

Opinión de Hacker News

• La función principal de este malware es detectar direcciones de billeteras de criptomonedas en el portapapeles y reemplazarlas por la dirección del atacante

  • Bitcoin (bc1): bc1qrzh7d0yy8c3arqxc23twkjujxxaxcm08uqh60v
  • Litecoin (ltc1/L/M): LQ4B4aJqUH92BgtDseWxiCRn45Q8eHzTkH
  • Ethereum (0x): 0x10A8B2e2790879FFCdE514DdE615b4732312252D
  • Dogecoin (D): DQzrwvUJTXBxAbYiynzACLntrY4i9mMs7D
  • Tron (T): TW93HYbyptRYsXj1rkHWyVUpps2anK12hg
  • Ripple (r): r9vQFVwRxSkpFavwA9HefPFkWaWBQxy4pU
  • Cardano (addr1): addr1q9atfml5cew4hx0z09xu7mj7fazv445z4xyr5gtqh6c9p4r6knhlf3jatwv7y72deah9un6yettg92vg8gskp04s2r2qren6tw
    Aclaran que no hay garantía de que no haga otras acciones maliciosas
  • Me pregunto si se podrá verificar en la blockchain si el atacante realmente está recibiendo dinero, y cuánto ganan con ataques así
  • Me pregunto si hoy en día los sitios web todavía pueden leer el contenido del portapapeles desde el navegador
  • Con solo ver el título del artículo pensé que sería un ataque de este tipo; quizá sea ingenuo, pero antes simplemente confiaba en el software de código abierto, en esa época instalaba distribuciones o paquetes de inmediato sin ningún conocimiento previo, ahora solo instalo lo que de verdad necesito

• Hay un comentario fijado en el hilo original https://old.reddit.com/r/xubuntu/comments/1oa43gt/xubuntuorg_might_be_compromised/

  • Decir que “fue un error momentáneo” es una minimización enorme; llamar a esto un “error” más bien hace sospechar del administrador que dejó ese comentario, no puedo creer que preparar directamente un archivo zip con un exe malicioso y texto para Xubuntu, subirlo al servidor y hasta enlazarlo con un torrent pueda pasar por accidente
  • Decir vagamente que “fue un error” mientras ni siquiera verifican si era malware va más allá de lo raro y resulta muy sospechoso

• Revisé la suma de verificación del archivo ISO más reciente en el sitio oficial de Xubuntu y parece normal
  https://mirror.us.leaseweb.net/ubuntu-cdimage/xubuntu/releases/24.04/release/

  • Según entiendo, el problema ocurre porque desde el enlace de descarga por torrent se obtenía un archivo zip comprometido en lugar de la imagen oficial
    “La descarga por torrent contiene un exe sospechoso y tos.txt dentro del zip; en tos aparece copyright 2026 aunque estamos en 2025, lo que resulta sospechoso; abrí el exe con file-roller pero no encontré ningún archivo .torrent”
  • Me pregunto de dónde obtuvieron la referencia del archivo SHA256SUMS, y si también verificaron que la firma gpg de ese archivo de checksums fue descargada desde una fuente confiable
  • Si el atacante puede subir un archivo ISO manipulado, también podría manipular el archivo de checksums; ahora que se descarga de forma segura con https, me surgen dudas sobre la utilidad de los checksums por sí solos, para confiar en ellos hace falta una cadena de confianza sistemática desde una fuente fiable

• Lo más inquietante del hilo fue que, tras el cambio de dominio del año pasado, el sitio falso de Lubuntu sigue existiendo; instalé Lubuntu hace unas semanas y por suerte creo que lo descargué desde el sitio real, el sitio falso solo ofrece versiones hasta la 19.04
  Instalé Lubuntu otra vez después de mucho tiempo y no sabía del reciente problema de secuestro de dominio; incluso buscando hoy, todavía no encuentro mucha información adicional

  • Ese sitio web no es el oficial, pero es el típico sitio publicitario en WordPress que se llena de artículos largos generados con IA sobre distinto software y anuncios, para luego enlazar solo las descargas oficiales
    Con lanzadores de Roblox como Bloxstrap pasa algo parecido: la URL oficial es https://bloxstraplabs.com, pero sitios falsos como bloxstrap[.]net aparecen mucho en los primeros resultados de búsqueda
    Por ahora no distribuyen malware, pero eso puede cambiar en cualquier momento
  • Si usas uBlock Origin, te muestra una advertencia al entrar a lubuntu.net, así que está bien

• Uno de los elementos que genera sospechas es el año de copyright; puede parecer raro ver (C) 2026 estando en 2025, pero es una práctica que a veces también se usa en la industria editorial tradicional; una vez me sorprendí al recibir en septiembre un libro de texto con el año siguiente y pensé “este libro viene del futuro”

• Cada vez que veo este tipo de reportes, me pregunto si la gente de verdad guarda billeteras de software de criptomonedas en la PC que usa a diario; yo mantengo una laptop aparte usada exclusivamente para criptomonedas, fuera de eso no se me ocurre una forma segura de hacerlo

  • En realidad, son pocos los que manejan cripto desde una desktop o laptop; la mayoría hace todo desde un solo smartphone, poca gente tiene dos dispositivos, y los que dedican uno exclusivamente para cripto son realmente poquísimos
  • El poder de la comodidad es más grande de lo que uno espera; además, en mi billetera casi no hay nada, así que pienso que aunque entre un hacker no tendría mucho que sacar, está tan “vacía” que incluso si me la vacían el daño sería mínimo

• Este problema deja como lección que hay que ser más riguroso al verificar checksums; si el sitio es comprometido, también se pueden manipular los checksums a voluntad, ya es hora de tener un sistema centralizado de verificación de checksums para todas las distribuciones principales (o incluso para todas)

• En este caso, si borras por completo Windows con la ISO e instalas Linux, el efecto del malware probablemente se vuelve casi irrelevante

  • Pero si solo pruebas la ISO en modo live y luego vuelves a Windows, ¿no te infectas? Casi parece que alguien está decidido a hacer que la gente se pase a Linux :P

• Enlace al hilo archivado de Reddit

  • Gracias por ese enlace; para los que, como yo, abren Reddit en móvil, la app se lanza a la fuerza y el botón de volver se vuelve un desastre, así que resulta muy incómodo

• Broma sobre quién añadió en secreto un compositor Wayland para XFCE

  • De hecho, sí existe un documento de hoja de ruta de Wayland