A fine ottobre è stato aggiunto un archivio ZIP alla pagina di download della nota distribuzione Linux. Il team di Xubuntu ha pubblicato un messaggio per spiegare come è stato compromesso il sito, dopo aver ricevuto i dettagli da Canonical che gestisce l’infrastruttura (Xubuntu è Ubuntu con ambiente desktop Xfce).
Vulnerabilità di WordPress
L’immagine ISO di Xubuntu può essere scaricata da questa pagina. Ci sono i link per il download dai mirror (HTTP) e tramite Torrent. Circa un mese fa, il link torrent della versione desktop completa puntava ad un archivio ZIP. Al suo interno c’erano un file eseguibile e un file di testo.
L’eseguibile era di un crypto clipper, un malware che intercetta gli indirizzi dei wallet di criptovalute copiati nella cilpboard (appunti) di Windows. Ovviamente nessun utente Linux scaricherebbe un file per Windows, ma il pensionamento di Windows 10 ha spinto molti “newbie” a cercare alternative, senza conoscere le differenze basilari tra i sistemi operativi.
Il sito di Xubuntu viene gestito da Canonical ed è basato su WordPress. Il 15 ottobre, un cybercriminale (ignoto) ha utilizzato la tecnica del brute forcing per accedere ad un componente vulnerabile di WordPress. Successivamente ha iniettato il codice per cambiare il link del download tramite torrent.
Il team di Canonical ha temporaneamente disattivato la pagina, rimosso il codice e rafforzato le protezioni. Gli utenti che hanno scaricato l’archivio ZIP tra il 15 e il 19 ottobre devono cancellarlo immediatamente ed eseguire un controllo approfondito con un antivirus.
In seguito all’accaduto, Canonical ha deciso di accelerare un piano già previsto. WordPress verrà presto sostituito da Hugo, un generatore di siti statici che elimina alla radice i vettori di attacco sfruttati per colpire WordPress.
