Officiële website Xubuntu deelde tijdelijk malware via downloadpagina

Criminelen hebben enkele dagen lang malware verspreid via de officiële website van de Linux-distro Xubuntu. Inmiddels is de malafide downloadlink offline gehaald en wordt er aan een oplossing gewerkt. Het is niet duidelijk hoeveel mensen getroffen zijn door de cyberaanval.

Xubuntu-malware-installer
Afbeelding via Reddit

Volgens gebruikers op Reddit werd via de officiële website van Xubuntu een bestand gedeeld met de naam 'XubuntuSafeDownload.zip'. Eenmaal uitgepakt kregen gebruikers een .exe-bestand te zien waarmee naar verluidt malware werd geïnstalleerd om cryptovaluta-adressen uit het klembord te kopiëren. Een .exe-bestand is voor Linux-gebruikers vermoedelijk opvallend, omdat distributies in principe altijd als .iso-bestand geleverd worden en niet als Windows-executable.

Uit een verklaring van een van de makers van de Ubuntu-fork blijkt dat er een fout is gemaakt met betrekking tot de hostingomgeving. Mogelijk zijn criminelen via die weg het systeem binnengedrongen, maar de makers geven geen verdere details over het incident. De downloadpagina van het besturingssysteem toont op het moment van schrijven de versie Xubuntu 24.04. Deze versie kwam in april 2024 uit. De nieuwste versie van het OS is 25.10.

Door Yannick Spinner

Redacteur

Feedback • 20-10-2025 13:47
33 • submitter: TheVivaldi

20-10-2025 • 13:47

33

Submitter: TheVivaldi

Lees meer

Ubuntu kan vanaf 23.04 officieel met Cinnamon-desktopomgeving worden gebruikt
Ubuntu kan vanaf 23.04 officieel met Cinnamon-desktopomgeving worden gebruikt Nieuws van 29 maart 2023
Officiële Ubuntu-flavors stoppen vanaf 23.04 met standaard ondersteunen Flatpak
Officiële Ubuntu-flavors stoppen vanaf 23.04 met standaard ondersteunen Flatpak Nieuws van 22 februari 2023
Ubuntu Mate-distro wordt officiële 'Ubuntu-flavor'
Ubuntu Mate-distro wordt officiële 'Ubuntu-flavor' Nieuws van 27 februari 2015
Ubuntu viert tienjarig jubileum eerste release
Ubuntu viert tienjarig jubileum eerste release Nieuws van 20 oktober 2014
Ubuntu 14.10 krijgt officiële versie met Mate-desktop
Ubuntu 14.10 krijgt officiële versie met Mate-desktop Nieuws van 7 juli 2014
Canonical staakt financiële ondersteuning Kubuntu
Canonical staakt financiële ondersteuning Kubuntu Nieuws van 7 februari 2012
Meer producten en artikelen
Besturingssystemen Beveiliging en antivirus Linux Malware Xubuntu

Reacties (33)

-Moderatie-faq
33
31
20
0
0
11
Wijzig sortering

Sorteer op:

Weergave:
PMvE 20 oktober 2025 15:12
Had een SHA verificatie sleutel die ik vaak bij linux iso's zie staan dit kunnnen afvangen?
Reageer
h3x4d3c1m4l @PMvE20 oktober 2025 15:31
Nee, helaas. Met een hash kun je niet verifieren van wie een bestand afkomstig is. Alleen of het bestand intact is.

Zou die .exe bijvoorbeeld voorzien zijn van een digitale handtekening, dan zou je die kunnen checken tegen een bekende sleutel van bijvoorbeeld Canonical of van de beheerders van Xubuntu aan.
Reageer
CAPSLOCK2000
20 oktober 2025 14:46
Eenmaal uitgepakt kregen gebruikers een .exe-bestand te zien waarmee naar verluidt malware werd geïnstalleerd om cryptovaluta-adressen uit het klembord te kopiëren. Een .exe-bestand is voor Linux-gebruikers vermoedelijk opvallend, omdat distributies in principe altijd als .iso-bestand geleverd worden en niet als Windows-executable.
Wat een incompetente klungel. Dit was een gouden kans om veel meer te doen dan het klembord plunderen. De installer had één grote rootkit/backdoor kunnen zijn.

Af en toe ben ik blij dat de meeste criminelen dom en opportunistisch zijn, dit had veel erger kunnen uitpakken.
Reageer
TweakerCarlo @CAPSLOCK200020 oktober 2025 16:38
Zouden ze dit niet bewust doen om bepaalde doelgroepen te targetten die niet 'slim' genoeg zijn om vervolgstappen te ondernemen.

Excuus voor woordkeuze, bedoel het goed.
Reageer
Zarif @TweakerCarlo20 oktober 2025 16:49
Dat zou zomaar kunnen. Vaak worden in spammails bijvoorbeeld opzettelijk grammaticale fouten gezet of ziet het er iets te nep uit om niet 'te succesvol' te zijn, want dat trekt te veel aandacht.
Reageer
Rikkert86 @CAPSLOCK200020 oktober 2025 17:17
Dat zal de kans op (eerdere) detectie ook alleen maar groter maken. Hoe meer je aanraakt....
Reageer
Dark Angel 58 20 oktober 2025 15:24
lol zwaar balen... maar is checksum controle genoeg? Kunnen de hackers het eigen checksum met gemak vervangen? Zodat het in orde is en dat we geen argwaan krijgen???

Best goede vraag :P
Reageer
3dfx @Dark Angel 5820 oktober 2025 17:03
Checksum zorgt alleen dat je zeker weet dat alle bitjes van het bestand correct zijn binnengekomen, niet of het bestand zelf legitiem en veilig is.

Wanneer hackers de checksum van hun bestand op de website bij de downloadlink plaatsen, weet je dus nog niet of het koosjer is.

Doen ze dat niet, dan zou het wel kunnen opvallen, omdat de checksum van het bestand verschilt met wat er op de website staat.
Echter moet de downloader nog steeds wel de kennis en zin hebben om de checksum te verifiëren ;)
Reageer
Emielio 20 oktober 2025 13:57
Zuur voorbeeld van een gekaapte distributieketen: via de Xubuntu-site is kortstondig malware aangeboden. Goed dat de link snel is uitgeschakeld; nu graag een transparant post-mortem en een strak herstelplan. Denk aan hardening van hosting, strengere release-hygiëne (checksums/handtekeningen standaard, sleutelbeheer, 2FA) en CI/CD-signing. Voor gebruikers: blijf bron en integriteit van downloads verifiëren—dit soort aanvallen teert op routine, niet op techniek.
Edit: @Jeffrey87 Klopt dat in dit geval. Opmerking was meer algemeen.

[Reactie gewijzigd door Emielio op 20 oktober 2025 14:12]

Reageer
Flex-Able @Emielio20 oktober 2025 14:03
Precies, dit soort incidenten komen helaas steeds vaker voor nu Linux-distributies populairder worden bij zowel hobbyisten als professionele gebruikers. De toename in populariteit maakt Linux ook aantrekkelijker voor cybercriminelen, die proberen in te breken in de softwareketen of officiële downloadkanalen te misbruiken. Controleer altijd de checksums (SHA256/SHA512)

[Reactie gewijzigd door Flex-Able op 20 oktober 2025 14:03]

Reageer
Altamyr @Flex-Able20 oktober 2025 14:11
Is er een goede uitleg die je aanraadt over checksums? Als Linux leek heb ik daar nog nooit over gehoord namelijk, en ik gebruik het nu wel sinds een kleine week
Reageer
IIsnickerII @Altamyr20 oktober 2025 14:24
https://help.rublon.com/en/support/solutions/articles/1000308518-how-to-verify-sha-256-checksum-

Dit legt het aardig goed uit. Ik ben al lang van mening geweest dat checksum checking makkelijker moet worden doordat je bijv. het door de browser kunt laten uitvoeren. Veel standaard gebruikers zitten helemaal niet te wachten op een ingewikkelde command.
edit:
De link legt vooral uit hoe het werkt voor files op hun eigen site, maar is gewoon toe te passen op elke download van een site die de SHA-checksum ergens op de downloadpagina toont.

[Reactie gewijzigd door IIsnickerII op 20 oktober 2025 14:26]

Reageer
killercow @IIsnickerII20 oktober 2025 14:41
Browsers doen al checksum checking op SubResources. Eg, files die ze zelf executen. Het zou inderdaad ook toegevoegd kunnen worden op 'gedownloade files', echter als je de website zelf kan aanpassen (zodat deze naar een malafide link wijst) kun je vast ook de 'bijbehorende' checksum aanpassen. Daar zou je in dit geval niets mee winnen.

Wat wel zou werken is trusted signers, oftewel PGP signed files, maar ook dat staat of valt bij waar je dan je vertrouwde sleutels op haalt. Wellicht in dns?
Reageer
IIsnickerII @killercow20 oktober 2025 15:19
Niet als je de checksum zou uitvoeren op het gedownloade bestand. Min of meer hetzelfde wat je zelf handmatig kan doen. Lijkt me zeer onwijs om de checksum als Metadata mee te sturen.
Reageer
Christoxz @Altamyr20 oktober 2025 14:22
Een checksum is een reeks aan tekens die je kan genereren van een bron, bijvoorbeeld een bestand, tekst, foto's etc die gebruikt kan worden om twee de zelfde bestanden met elkaar te vergelijken, om zeker te weten of de twee bestanden identiek zijn.
Dit is niet iets specifiek voor Linux, dit zie je bij heel veel downloads en ook andere toepassingen.

Stel ik geef jou een bestand en geef aan dat de checksum "A123" is, en jij genereert een andere checksum, dan weet jij dat het bestand dat je hebt ontvangen, niet identiek is.

Een ander voorbeeld is als je bestanden kopieert, door een checksum kan je sneller inzien of er niks corrupt is geraakt, net zoals bij een download.

Echter in dit geval met Xubuntu had een checksum niks uitgemaken, aangezien waarschijnlijk de hackers ook de checksum op de pagina had kunnen wijzingen.

[Reactie gewijzigd door Christoxz op 20 oktober 2025 14:24]

Reageer
hachee @Christoxz20 oktober 2025 15:19
Echter in dit geval met Xubuntu had een checksum niks uitgemaken, aangezien waarschijnlijk de hackers ook de checksum op de pagina had kunnen wijzingen.
Gezien het enkel de site betrof, hadden ze om het nog eenvoudiger te maken daar dan weer GPG keys voor kunnen toepassen : +)

e.g als met Fedora:
Verify your download for security and integrity using the proper checksum file. If there is a good signature from one of the Fedora keys, and the SHA256 checksum matches, then the download is valid.

Download the checksum file into the same directory as the image you downloaded.
Import Fedora's GPG key(s)
curl -O https://fedoraproject.org/fedora.gpg
fa-solid:info-circleYou can verify the details of the GPG key(s) here.
Verify the checksum file is valid
gpgv --keyring ./fedora.gpg Fedora-Workstation-42-1.1-x86_64-CHECKSUM
Verify the checksum matches
sha256sum --ignore-missing -c Fedora-Workstation-42-1.1-x86_64-CHECKSUM
If the output states that the file is valid, then it's ready to use!
Reageer
Christoxz @hachee20 oktober 2025 15:25
Maar de GPG komt ook vanuit de website, dus die had dan toch ook aangepast kunnen worden? Tenzij je de GPG al zou hebben, maar dat is minder aannemelijk.
Reageer
hachee @Christoxz20 oktober 2025 15:39
Tenzij je de GPG al zou hebben
Dat is waar, ik stel dan voor om nog een extra controlerende GPG/blockchain laag van één of beter meerdere nevenpartijen daarboven te plaatsen (e.g download via https://gpg.gnu.org )

[Reactie gewijzigd door hachee op 20 oktober 2025 15:49]

Reageer
cricque @Altamyr20 oktober 2025 14:17
Een checksum is gewoon een "tekst" van x aantal karakters. Deze x aantal karakters bevatten wat info. Deze kan je vergelijken met hetgeen je gedownload hebt, door een nieuwe aan te maken. Als deze overeenkomen dan weet je dat het bestand dat je gedownload hebt het echte bestand is. Als deze "check" niet correct is, dan komt het niet overeen en heb je een bestand dat corrupt is. Ik kies hier bewust voor corrupt, want het wilt niet zeggen dat er daarvoor meet geprutst is. De download kan ook corrupt zijn (kans is minimaal, maar het zou kunnen).
Reageer
Kheos @Altamyr20 oktober 2025 15:26
Ik vind het altijd wel vreemd dat er dan van uit wordt gegaan dat de download zelf gecompromitteerd kan zijn, maar dat de aanvaller geen nieuwe hash kan genereren. Waarom niet?
Reageer
RVW @Flex-Able20 oktober 2025 14:22
Het marktaandeel van Linux op de desktop is het afgelopen jaar met bijna anderhalve procent afgenomen, van 4,48% naar 3,16%, dus welke toename van populariteit heb jij het over? Bron: https://gs.statcounter.com/os-market-share/desktop/worldwide/
Reageer
schermer @RVW20 oktober 2025 14:56
Maar een lager % van meer systemen kan nog steeds meer gebruikers zijn.
Reageer
TheVivaldi @schermer20 oktober 2025 16:28
Precies. En daarbij zijn die procenten op zulke sites natuurlijk alleen maar schattingen.

Dat Linux populairder wordt, blijkt wel, want bijv. de AUR van Arch is de laatste tijd ook al meermaals aangevallen. Aanvallers doen dat niet als ze maar een handjevol mensen treffen.
Reageer
Rikkert86 @Flex-Able20 oktober 2025 17:26
Als de actor de downloadlinks kan aanpassen , kan hij er ook een checksum bij zetten van zijn eigen, zogenaamd veilige, bestand. Dus dat had hier weinig verteld over de integriteit van het bestand. Sha checksums bewijzen alleen maar dat je het juiste bestand hebt ontvangen zoals bedoeld, maar als ze de download kunnen aanpassen, lijkt mij dat het aanpassen van die getoonde checksum bij de download stap 2 is, en dus niks zeggend is in of het bestand veilig is.

[Reactie gewijzigd door Rikkert86 op 20 oktober 2025 17:27]

Reageer
Jeffrey87 @Emielio20 oktober 2025 14:04
In dit geval heeft bron verificatie niet zoveel zin, aangezien je het al vanaf een (normaal gesproken) betrouwbare bron hebt gedownload. Checksum (integriteit) controleren zou dan de volgende stap zijn, maar aangezien de bron gecompromitteerd is, kunnen kwaadwillenden ook de checksum files hebben gewijzigd.

@Emielio In het algemeen zijn deze stappen uiteraard wel best practice, maar in dit uitzonderlijke geval dus niet.

[Reactie gewijzigd door Jeffrey87 op 20 oktober 2025 14:25]

Reageer
Pinkys Brain @Jeffrey8720 oktober 2025 15:38
Beetje project gebruikt PGP signatures. Maar waarom is er geen IETF RFC om downloads te tekenen met een speciaal CA certificaat? Dan kan de browser laten zien dat de download afkomstig is van de gecertificeerde build environment.

Speciaal certificaat zodat je niet het HTTPS certificaat hoeft te gebruiken, wat nutteloos is als de webserver is gecompromitteerd. Dat kan dan in een HSM bij github of welk build environment dan ook. Web frontends zijn nou eenmaal de minst betrouwbare componenten van het internet.

PS. net zoals Microsoft doet voor Windows installatie files.

[Reactie gewijzigd door Pinkys Brain op 20 oktober 2025 15:48]

Reageer
Rikkert86 @Pinkys Brain20 oktober 2025 17:30
Je kan het zo mooi maken als je wilt, maar de eindgebruiker blijft vooral het probleem. Al zou bovenstaande allemaal geïmplementeerd zijn, zal nog steeds het gros van de eindgebruikers hier niks mee doen en gewoon klikken/downloaden/openen naar hartelust, helaas.
Reageer
Jeffrey87 @WhiteHatter20 oktober 2025 14:42
Alsof dit niet bij andere distro's kan gebeuren bedoel je?
Reageer
hfolkers @WhiteHatter20 oktober 2025 14:42
ja want daar kan dit natuurlijk niet voorkomen 8)7
Reageer
divvid @WhiteHatter20 oktober 2025 14:44
alsof daar nix mis kan gaan?....
Reageer
bwerg @WhiteHatter20 oktober 2025 15:05
Waarom zou je geen ubuntu gebruiken als er een lek is bij de website van Xubuntu? Klok en klepel...
Reageer


Om te kunnen reageren moet je ingelogd zijn

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2025 Hosting door TrueFullstaq