Xubuntu.org อาจถูกแฮก

 (old.reddit.com)
1 คะแนน โดย GN⁺ 2025-10-20 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • ผู้ใช้รายงานเมื่อเร็ว ๆ นี้ว่าพบ Xubuntu.org มีโครงสร้างที่ไม่ปกติและกิจกรรมที่น่าสงสัย
  • พบว่าลิงก์บางส่วนเชื่อมต่อไปยัง เว็บไซต์ภายนอกที่น่าสงสัย หรือทำให้เกิดการดาวน์โหลดไฟล์ที่ยังไม่ผ่านการตรวจสอบ
  • ชุมชนเริ่มเตือนถึงความเสี่ยงของ การฟิชชิงหรือการเผยแพร่มัลแวร์
  • ฝ่ายทางการของ Xubuntu ระบุว่ากำลังมีการ สอบสวนเพื่อยืนยันว่ามีการบุกรุกจริงหรือไม่
  • ผู้ใช้ได้รับคำแนะนำให้ หยุดการดาวน์โหลดและการเข้าสู่ระบบทั้งหมดจนกว่าความปลอดภัยจะได้รับการยืนยัน

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-10-20
ความเห็นจาก Hacker News

  • หน้าที่หลักของมัลแวร์ตัวนี้คือ ตรวจจับที่อยู่กระเป๋าเงินคริปโตในคลิปบอร์ดแล้วสลับเป็นที่อยู่ของผู้โจมตี

    • Bitcoin (bc1): bc1qrzh7d0yy8c3arqxc23twkjujxxaxcm08uqh60v
    • Litecoin (ltc1/L/M): LQ4B4aJqUH92BgtDseWxiCRn45Q8eHzTkH
    • Ethereum (0x): 0x10A8B2e2790879FFCdE514DdE615b4732312252D
    • Dogecoin (D): DQzrwvUJTXBxAbYiynzACLntrY4i9mMs7D
    • Tron (T): TW93HYbyptRYsXj1rkHWyVUpps2anK12hg
    • Ripple (r): r9vQFVwRxSkpFavwA9HefPFkWaWBQxy4pU
    • Cardano (addr1): addr1q9atfml5cew4hx0z09xu7mj7fazv445z4xyr5gtqh6c9p4r6knhlf3jatwv7y72deah9un6yettg92vg8gskp04s2r2qren6tw
      พร้อมระบุว่าไม่มีอะไรรับประกันได้ว่าจะไม่มีพฤติกรรมอันตรายอื่นเพิ่มเติม
    • สงสัยว่าน่าจะตรวจสอบบนบล็อกเชนได้ไหมว่าผู้โจมตีได้รับเงินจริงหรือไม่ และอยากรู้ว่าการโจมตีแบบนี้ทำเงินได้มากแค่ไหน
    • สงสัยว่าทุกวันนี้เว็บไซต์ในเบราว์เซอร์ยังอ่านข้อมูลในคลิปบอร์ดได้อยู่หรือเปล่า
    • แค่อ่านพาดหัวข่าวก็เดาได้แล้วว่าน่าจะเป็นการโจมตีแบบนี้ ฟังดูอาจจะไร้เดียงสา แต่เมื่อก่อนฉันเคยเชื่อซอฟต์แวร์โอเพนซอร์สแบบไม่คิดมาก ตอนนั้นถึงไม่มีความรู้พื้นฐานก็ยังติดตั้งดิสโทรหรือแพ็กเกจได้ทันที เดี๋ยวนี้จะติดตั้งเฉพาะของที่จำเป็นจริง ๆ เท่านั้น

  • มีคอมเมนต์ปักหมุดอยู่ในเธรดต้นทาง https://old.reddit.com/r/xubuntu/comments/1oa43gt/xubuntuorg_might_be_compromised/

    • การอ้างว่าเป็น “ความผิดพลาดชั่วคราว” นั้นเป็นการพูดเบาเกินไปมาก การเรียกเรื่องแบบนี้ว่า “ความผิดพลาด” กลับยิ่งทำให้สงสัยผู้ดูแลที่มาแสดงความเห็น เพราะไม่เชื่อว่าการเตรียมไฟล์ zip ที่มี exe อันตรายกับข้อความสำหรับ xubuntu แล้วอัปขึ้นเซิร์ฟเวอร์พร้อมโยงลิงก์ torrent จะเกิดขึ้นได้จากความผิดพลาด
    • การพูดคลุมเครือว่า “เป็นความผิดพลาด” แต่กลับไม่ยืนยันด้วยซ้ำว่าเป็นมัลแวร์หรือไม่ มันไม่ใช่แค่แปลก แต่ชวนให้สงสัยอย่างมาก

  • ลองตรวจเช็ก checksum ของไฟล์ ISO ล่าสุดบนเว็บไซต์ทางการของ Xubuntu แล้ว ดูเหมือนจะปกติ
    https://mirror.us.leaseweb.net/ubuntu-cdimage/xubuntu/releases/24.04/release/

    • เท่าที่ฉันเข้าใจ ปัญหาเกิดจากการดาวน์โหลดไฟล์ zip ที่ถูกแก้ไขผ่านลิงก์ดาวน์โหลด torrent แทนที่จะเป็นอิมเมจทางการ
      “การดาวน์โหลด torrent มี exe ต้องสงสัยกับ tos.txt อยู่ในไฟล์ zip โดยใน tos มีข้อความลิขสิทธิ์ปี 2026 ทั้งที่ตอนนี้ยังเป็นปี 2025 จึงน่าสงสัย ฉันเปิด exe ด้วย file-roller แต่ไม่พบไฟล์ .torrent”
    • สงสัยว่าเอาค่าอ้างอิงของไฟล์ SHA256SUMS มาจากที่ไหน และได้ตรวจด้วยหรือไม่ว่าลายเซ็น gpg ของไฟล์ checksum นั้นดาวน์โหลดมาจากแหล่งที่เชื่อถือได้จริง
    • ถ้าผู้โจมตีสามารถอัปโหลดไฟล์ ISO ที่ถูกดัดแปลงได้ ก็มองว่าน่าจะดัดแปลงไฟล์ checksum ไปพร้อมกันได้ด้วย ทุกวันนี้ที่ดาวน์โหลดผ่าน https อย่างปลอดภัยกันอยู่แล้ว ก็เริ่มสงสัยประโยชน์ของ checksum เอง เพราะหากจะเชื่อถือ checksum ก็ต้องมีห่วงโซ่ความเชื่อถือที่เป็นระบบจากแหล่งที่ไว้ใจได้

  • สิ่งที่น่ากลัวในเธรดคือ หลังเปลี่ยนโดเมนเมื่อปีที่แล้ว เว็บไซต์ lubuntu ปลอมยังคงอยู่ ฉันเพิ่งติดตั้ง Lubuntu ไปเมื่อไม่กี่สัปดาห์ก่อน โชคดีที่น่าจะดาวน์โหลดจากเว็บจริง เว็บปลอมมีให้แค่เวอร์ชันถึง 19.04
    ฉันไม่ได้ติดตั้ง Lubuntu มานาน เลยไม่รู้เรื่องประเด็นยึดโดเมนล่าสุด วันนี้ลองค้นดูก็ยังไม่เจอข้อมูลเพิ่มเติมมากนัก

    • เว็บไซต์นั้นไม่ใช่เว็บทางการ แต่เป็นเว็บ WordPress สายโฆษณาแบบคลาสสิกที่อัดแน่นด้วยบทความยืดยาวสไตล์ AI เกี่ยวกับซอฟต์แวร์ต่าง ๆ แล้วค่อยแปะลิงก์ดาวน์โหลดทางการไว้ให้
      กรณีของ Bloxstrap ซึ่งเป็น Roblox launcher ก็คล้ายกัน โดย URL ทางการคือ https://bloxstraplabs.com แต่เว็บปลอมอย่าง bloxstrap[.]net กลับขึ้นอันดับค้นหาสูงอยู่มาก
      ตอนนี้ยังไม่ได้แจกมัลแวร์ แต่สถานการณ์อาจเปลี่ยนเมื่อไรก็ได้
    • ถ้าใช้ uBlock Origin จะมีคำเตือนตอนเข้า lubuntu.net ก็ถือว่าโอเค

  • หนึ่งในจุดที่ถูกสงสัยคือปีลิขสิทธิ์ การเขียนว่า (C) 2026 ทั้งที่ยังเป็นปี 2025 อาจดูแปลก แต่ในวงการสิ่งพิมพ์แบบดั้งเดิมก็มีใช้กันบ้าง ฉันเคยได้หนังสือเรียนที่พิมพ์ปีถัดไปตั้งแต่เดือนกันยายน แล้วรู้สึกเหมือนได้ “หนังสือจากอนาคต”

  • ทุกครั้งที่เห็นรายงานแบบนี้ ฉันจะสงสัยว่าคนเรายังเก็บซอฟต์แวร์กระเป๋าเงินคริปโตไว้บนพีซีที่ใช้ประจำกันจริงหรือ ฉันเก็บโน้ตบุ๊กแยกไว้เครื่องหนึ่งเพื่อใช้กับคริปโตเท่านั้น นึกไม่ออกเลยว่าจะมีวิธีที่ปลอดภัยกว่านี้นอกจากทำแบบนี้

    • คนที่ทำธุรกรรมคริปโตบนเดสก์ท็อปหรือแล็ปท็อปจริง ๆ มีน้อย คนส่วนใหญ่จัดการทุกอย่างผ่านสมาร์ตโฟนเครื่องเดียว มีคนที่มีอุปกรณ์สองเครื่องก็ไม่มากอยู่แล้ว และถ้าจะมีเครื่องหนึ่งไว้ใช้เฉพาะคริปโตเลยก็ยิ่งมีน้อยมาก
    • พลังของความสะดวกสบายนั้นแรงกว่าที่คิด แถมในกระเป๋าของฉันก็แทบไม่มีอะไรอยู่แล้ว เลยคิดว่าต่อให้แฮ็กเกอร์เข้ามาก็คงไม่ได้อะไรไป ถึงโดนขโมยจริงก็เสียหายไม่มาก เพราะเป็น “กระเป๋าเงินว่างเปล่า” อยู่แล้ว

  • ปัญหาแบบนี้เป็นบทเรียนว่าต้องตรวจสอบ checksum ให้เข้มงวดยิ่งขึ้น ถ้าเว็บไซต์ถูกเจาะ checksum ก็ถูกแก้ได้ตามใจ ถึงเวลาที่ควรมีระบบตรวจสอบ checksum แบบศูนย์กลางสำหรับดิสโทรหลักทั้งหมดแล้ว

  • ในกรณีนี้ ถ้าล้าง Windows ทิ้งทั้งหมดด้วย ISO แล้วติดตั้ง Linux ใหม่ ผลกระทบของมัลแวร์ก็น่าจะแทบไม่มีความหมาย

    • แต่ถ้าแค่ลองใช้ผ่าน live ISO แล้วกลับไปใช้ Windows ต่อ แบบนั้นก็จะติดเชื้อไม่ใช่หรือ เหมือนมีใครตั้งใจผลักให้คนย้ายมาใช้ Linux เลย :P

  • ลิงก์ Reddit เธรดที่เก็บถาวรไว้

    • ขอบคุณสำหรับลิงก์แบบนี้ สำหรับคนอย่างฉันที่เปิด Reddit บนมือถือ แอปจะถูกบังคับเปิดขึ้นมาและปุ่มย้อนกลับก็รวน ทำให้ใช้งานลำบากมาก

  • มีมุกว่ามีใครแอบเพิ่ม Wayland compositor สำหรับ XFCE เข้าไปหรือเปล่า