Xubuntu.org'nin ele geçirilmiş olabileceği düşünülüyor

Hacker News yorumu

• Bu zararlı yazılımın ana işlevi, panodaki kripto para cüzdan adreslerini tespit edip bunları saldırganın adresiyle değiştirmek

  • Bitcoin (bc1): bc1qrzh7d0yy8c3arqxc23twkjujxxaxcm08uqh60v
  • Litecoin (ltc1/L/M): LQ4B4aJqUH92BgtDseWxiCRn45Q8eHzTkH
  • Ethereum (0x): 0x10A8B2e2790879FFCdE514DdE615b4732312252D
  • Dogecoin (D): DQzrwvUJTXBxAbYiynzACLntrY4i9mMs7D
  • Tron (T): TW93HYbyptRYsXj1rkHWyVUpps2anK12hg
  • Ripple (r): r9vQFVwRxSkpFavwA9HefPFkWaWBQxy4pU
  • Cardano (addr1): addr1q9atfml5cew4hx0z09xu7mj7fazv445z4xyr5gtqh6c9p4r6knhlf3jatwv7y72deah9un6yettg92vg8gskp04s2r2qren6tw
    Bunun dışında başka kötü niyetli davranışlar sergilemeyeceğine dair bir garanti olmadığı da belirtilmiş
  • Blockchain üzerinde saldırganın gerçekten para alıp almadığının doğrulanıp doğrulanamayacağını merak ediyorum; ayrıca bu tür saldırılardan ne kadar kazanç sağlandığını da bilmek isterdim
  • Günümüzde tarayıcıların hâlâ web sitelerine pano içeriğini okuma izni verip vermediğini merak ediyorum
  • Sadece başlığı görünce bile bunun böyle bir saldırı olduğunu düşündüm; safça olabilir ama eskiden açık kaynak yazılımlara doğrudan güvenirdim, o zamanlar hiçbir arka plan bilgim olmadan dağıtım ya da paket kurardım, artık gerçekten gerekli olmayan hiçbir şeyi kurmuyorum

• Kaynak başlıkta sabitlenmiş bir yorum var https://old.reddit.com/r/xubuntu/comments/1oa43gt/xubuntuorg_might_be_compromised/

  • “Küçük bir hataydı” iddiası çok büyük bir hafifletme; buna “hata” denmesi bile yorumu bırakan yöneticiyi daha şüpheli kılıyor, kötü amaçlı bir exe ile xubuntu’ya dair metin içeren bir zip dosyasını özel olarak hazırlayıp sunucuya yüklemek ve hatta torrent bağlantısı vermek yanlışlıkla olmuş gibi gelmiyor
  • “Hataydı” diye muğlak konuşup bunun zararlı yazılım olup olmadığını bile doğrulamamak, garip olmanın ötesinde son derece şüpheli

• Xubuntu’nun resmi web sitesindeki en güncel ISO dosyasının checksum değerini kontrol ettim, normal görünüyor
  https://mirror.us.leaseweb.net/ubuntu-cdimage/xubuntu/releases/24.04/release/

  • Benim anladığım kadarıyla sorun, resmi imaj yerine torrent indirme bağlantısından bozulmuş bir zip dosyasının indirilmesiyle ortaya çıkıyor
    “Torrent indirmesinin içindeki zip dosyasında şüpheli bir exe ve tos.txt var; tos’ta 2026 telif hakkı ibaresi yer alıyor ama şu an 2025 olduğu için şüpheli görünüyor; file-roller ile exe’yi açtım ama .torrent dosyası bulamadım”
  • SHA256SUMS dosyası için referansın nereden alındığını merak ediyorum; ayrıca ilgili checksum dosyasının gpg imzasının güvenilir bir yerden indirildiği de doğrulandı mı?
  • Saldırgan değiştirilmiş bir ISO yükleyebiliyorsa checksum dosyasını da değiştirebilir diye düşünüyorum; günümüzde indirmeler HTTPS ile güvenli şekilde yapıldığından checksum’ın tek başına ne kadar işe yaradığı sorgulanıyor, checksum’a güvenmek için güvenilir bir kaynaktan gelen sistematik bir güven zinciri gerekir

• Başlıktaki en korkutucu şeylerden biri, geçen yılki alan adı değişikliğinden sonra sahte lubuntu sitesinin hâlâ duruyor olmasıydı; birkaç hafta önce Lubuntu kurdum ve neyse ki gerçek siteden indirmişim gibi görünüyor, sahte site yalnızca 19.04’e kadar olan sürümleri sunuyor
  Uzun zaman sonra Lubuntu kurduğum için son alan adı ele geçirme meselesinden habersizdim, bugün arattığımda da hâlâ ekstra bir bilgi bulamadım

  • O web sitesi resmi site değil; ama çeşitli yazılımlarla ilgili uzun uzun yapay zeka yazısı gibi görünen makaleler ve reklamlarla doldurulmuş, sonunda da resmi indirme bağlantılarını veren tipik bir WordPress reklam sitesi
    Bloxstrap gibi Roblox başlatıcılarında da benzer durum var; resmi URL https://bloxstraplabs.com olsa da bloxstrap[.]net gibi sahte siteler arama sonuçlarında üst sıralarda çıkıyor
    Şu anda zararlı yazılım dağıtmıyor olabilirler ama bu durum her an değişebilir
  • uBlock Origin kullanırsanız lubuntu.net’e girerken uyarı veriyor, o yüzden sorun olmuyor

• Şüphe uyandıran unsurlardan biri de telif yılı; 2025 yılında (C) 2026 yazıyor olması garip gelebilir ama bu, geleneksel yayıncılıkta da bazen kullanılan bir yöntem, eylülde gelecek yılın tarihini taşıyan bir ders kitabı alıp “gelecekten gelen kitap” diye şaşırdığım olmuştu

• Bu tür raporları her gördüğümde aklıma gelen şey, insanların gerçekten kripto para yazılım cüzdanlarını günlük kullandıkları PC’lerinde tutup tutmadığı; ben yalnızca kripto için kullanılan ayrı bir dizüstü bilgisayar saklıyorum, bunun dışında güvenli bir yöntem aklıma gelmiyor

  • Aslında kripto işlerini masaüstü ya da dizüstü bilgisayarda yapan kişi sayısı az; çoğu insan her şeyi tek bir akıllı telefonla hallediyor, iki cihaza sahip olan da az, bunlardan birini sadece kriptoya ayıranlarsa gerçekten çok küçük bir azınlık
  • Rahatlığın gücü tahmin edilenden büyük; ayrıca cüzdanımda neredeyse hiçbir şey yok, o yüzden bir hacker girse bile alacağı bir şey olmaz diye düşünüyorum, çalınsa bile ciddi zarar vermeyecek kadar “boş bir cüzdan” bu

• Bu olaydan çıkarılacak ders, checksum doğrulamasının daha sıkı yapılması gerektiği; site ele geçirilirse checksum da keyfî biçimde değiştirilebilir, büyük dağıtımların tamamı ya da çoğu için merkezi bir checksum doğrulama sistemine ihtiyaç var

• Bu örnekte, ISO ile Windows’u tamamen silip Linux kurarsanız zararlı yazılımın etkisi neredeyse anlamsız hâle gelir gibi görünüyor

  • Ama sadece live ISO ile deneyip sonra tekrar Windows’a dönerseniz enfekte olmaz mısınız? Sanki biri insanları Linux’a geçmeye zorlamaya çalışıyormuş gibi :P

• Arşivlenmiş Reddit başlığı bağlantısı

  • Bu tür bağlantılar için teşekkürler; benim gibi mobilde Reddit açınca uygulama zorla başlatılıyor ve geri tuşu da bozuluyor, çok sinir bozucu oluyor

• Birisi XFCE için gizlice Wayland compositer ekledi diye yapılan şaka

  • Aslında gerçekten de bir Wayland yol haritası belgesi var