Xubuntu.org có thể đã bị xâm nhập

Ý kiến trên Hacker News

• Chức năng chính của mã độc này là phát hiện địa chỉ ví tiền mã hóa trong clipboard và thay thế bằng địa chỉ của kẻ tấn công

  • Bitcoin (bc1): bc1qrzh7d0yy8c3arqxc23twkjujxxaxcm08uqh60v
  • Litecoin (ltc1/L/M): LQ4B4aJqUH92BgtDseWxiCRn45Q8eHzTkH
  • Ethereum (0x): 0x10A8B2e2790879FFCdE514DdE615b4732312252D
  • Dogecoin (D): DQzrwvUJTXBxAbYiynzACLntrY4i9mMs7D
  • Tron (T): TW93HYbyptRYsXj1rkHWyVUpps2anK12hg
  • Ripple (r): r9vQFVwRxSkpFavwA9HefPFkWaWBQxy4pU
  • Cardano (addr1): addr1q9atfml5cew4hx0z09xu7mj7fazv445z4xyr5gtqh6c9p4r6knhlf3jatwv7y72deah9un6yettg92vg8gskp04s2r2qren6tw
    Đồng thời cũng không có gì đảm bảo rằng nó không thực hiện thêm các hành vi độc hại khác
  • Tôi tò mò liệu có thể kiểm tra trên blockchain xem kẻ tấn công có thực sự nhận được tiền hay không, và muốn biết kiểu tấn công này kiếm được bao nhiêu
  • Tôi thắc mắc liệu ngày nay website trên trình duyệt vẫn còn có thể đọc nội dung clipboard không
  • Chỉ nhìn tiêu đề bài viết thôi tôi đã đoán có lẽ là kiểu tấn công này rồi, có thể là ngây thơ nhưng trước đây tôi cứ mặc nhiên tin phần mềm mã nguồn mở, hồi đó tôi từng cài distro hay package ngay lập tức mà không cần chút kiến thức nền nào, còn bây giờ thì tôi chỉ cài những gì thật sự cần thiết

• Có bình luận được ghim trong thread nguồn https://old.reddit.com/r/xubuntu/comments/1oa43gt/xubuntuorg_might_be_compromised/

  • Cách nói “chỉ là một sai sót nhỏ” là một sự giảm nhẹ cực độ, việc gọi chuyện này là “sai sót” thậm chí còn khiến tôi nghi ngờ admin để lại bình luận đó hơn, tôi không thể tin rằng việc tự chuẩn bị một file zip chứa exe độc hại cùng nội dung dành cho xubuntu, rồi tải nó lên server và còn gắn cả link torrent, lại có thể xảy ra do nhầm lẫn
  • Nói mập mờ rằng “đó là sai sót” trong khi còn không xác minh xem có phải mã độc hay không thì không chỉ lạ mà còn cực kỳ đáng ngờ

• Tôi đã kiểm tra checksum của file ISO mới nhất trên website chính thức của Xubuntu và trông có vẻ bình thường
  https://mirror.us.leaseweb.net/ubuntu-cdimage/xubuntu/releases/24.04/release/

  • Theo cách tôi hiểu thì vấn đề phát sinh khi tải file zip đã bị can thiệp từ link tải torrent, chứ không phải từ image chính thức
    “Bản tải torrent có chứa một exe đáng ngờ và tos.txt bên trong file zip, trong tos có ghi bản quyền năm 2026 dù hiện tại là 2025 nên khá đáng nghi, tôi đã mở exe bằng file-roller nhưng không tìm thấy file .torrent nào”
  • Tôi muốn biết bạn lấy mốc đối chiếu cho file SHA256SUMS từ đâu, và liệu bạn có kiểm tra xem chữ ký gpg của file checksum đó có được tải từ một nơi đáng tin cậy hay không
  • Nếu kẻ tấn công có thể tải lên file ISO đã bị chỉnh sửa thì tôi cho rằng chúng cũng có thể chỉnh sửa luôn file checksum, trong thời đại tải xuống an toàn bằng https như bây giờ thì tôi bắt đầu nghi ngờ giá trị của bản thân checksum, muốn tin checksum thì cần một chuỗi tin cậy có hệ thống từ nguồn đáng tin

• Điều đáng sợ trong thread là sau vụ đổi domain năm ngoái, website lubuntu giả vẫn còn tồn tại, vài tuần trước tôi có cài Lubuntu và may là hình như đã tải từ trang thật, trang giả chỉ cung cấp các phiên bản tới 19.04
  Lâu rồi tôi mới cài lại Lubuntu nên không biết về vụ chiếm đoạt domain gần đây, đến hôm nay tìm lại thì vẫn chưa thấy thêm thông tin gì đáng kể

  • Website đó không phải trang chính thức, mà là kiểu website WordPress quảng cáo điển hình: nhồi đầy quảng cáo và các bài viết do AI viết dài dòng giải thích đủ loại phần mềm, rồi chỉ gắn link tải chính thức
    Các launcher Roblox như Bloxstrap cũng tương tự, URL chính thức là https://bloxstraplabs.com nhưng các trang giả như bloxstrap[.]net lại xuất hiện rất nhiều ở top kết quả tìm kiếm
    Hiện tại chúng chưa phát tán mã độc nhưng tình hình có thể thay đổi bất cứ lúc nào
  • Dùng uBlock Origin thì khi vào lubuntu.net sẽ có cảnh báo nên cũng ổn

• Một trong những điểm khiến người ta nghi ngờ là năm bản quyền, việc ghi (C) 2026 trong năm 2025 có thể trông lạ nhưng đây là cách đôi khi vẫn được dùng trong ngành xuất bản truyền thống, tôi từng nhận giáo trình ghi năm kế tiếp vào tháng 9 và ngạc nhiên kiểu “sách đến từ tương lai à”

• Mỗi lần đọc những báo cáo kiểu này tôi lại thắc mắc, liệu mọi người có thật sự để ví phần mềm tiền mã hóa trên chiếc PC họ dùng hằng ngày không, còn tôi thì giữ riêng một laptop chỉ dùng cho tiền mã hóa, ngoài cách đó tôi không nghĩ ra phương án nào an toàn hơn

  • Thực tế số người xử lý công việc tiền mã hóa trên desktop hay laptop là thiểu số, đa số làm mọi thứ chỉ bằng một chiếc smartphone, số người có hai thiết bị đã ít, còn nếu dành hẳn một thiết bị chỉ cho tiền mã hóa thì thật sự là cực kỳ hiếm
  • Sức mạnh của sự tiện lợi còn lớn hơn ta tưởng, hơn nữa ví của tôi gần như chẳng có gì cả nên tôi nghĩ nếu hacker vào được thì cũng chẳng lấy được bao nhiêu, kiểu “ví rỗng” tới mức dù bị mất cũng không thiệt hại lớn

• Vấn đề này là một lời nhắc rằng cần xác minh checksum kỹ hơn, nếu website bị xâm nhập thì checksum cũng có thể bị chỉnh sửa tùy ý, có lẽ đã đến lúc cần một hệ thống xác minh checksum tập trung cho mọi distro lớn, hoặc thậm chí là cho tất cả distro

• Trong trường hợp này, nếu dùng ISO để xóa sạch Windows và cài Linux hoàn toàn thì tác hại của mã độc gần như trở nên vô nghĩa

  • Nhưng nếu chỉ boot live ISO để trải nghiệm rồi quay lại Windows thì vẫn bị nhiễm đúng không? Cảm giác như có ai đó quyết tâm ép người ta chuyển sang Linux vậy :P

• Link thread Reddit đã lưu trữ

  • Cảm ơn vì link này, trên di động như tôi mà mở Reddit là app bị ép chạy rồi nút quay lại cũng rối tung lên, rất khó chịu

• Có người đùa rằng ai đó đã bí mật thêm compositor Wayland cho XFCE

  • Thực ra còn có cả tài liệu lộ trình Wayland nữa