Xubuntu.org가 해킹당했을 가능성이 있음

Hacker News 의견

• 이 악성코드의 주요 기능은 클립보드에서 암호화폐 지갑 주소를 감지하고 공격자의 주소로 바꿔치기하는 것임

  • Bitcoin (bc1): bc1qrzh7d0yy8c3arqxc23twkjujxxaxcm08uqh60v
  • Litecoin (ltc1/L/M): LQ4B4aJqUH92BgtDseWxiCRn45Q8eHzTkH
  • Ethereum (0x): 0x10A8B2e2790879FFCdE514DdE615b4732312252D
  • Dogecoin (D): DQzrwvUJTXBxAbYiynzACLntrY4i9mMs7D
  • Tron (T): TW93HYbyptRYsXj1rkHWyVUpps2anK12hg
  • Ripple (r): r9vQFVwRxSkpFavwA9HefPFkWaWBQxy4pU
  • Cardano (addr1): addr1q9atfml5cew4hx0z09xu7mj7fazv445z4xyr5gtqh6c9p4r6knhlf3jatwv7y72deah9un6yettg92vg8gskp04s2r2qren6tw
    다른 악의적인 행동을 더 하지 않는다는 보장은 없음을 밝힘
  • 블록체인에서 실제로 공격자가 돈을 받고 있는지 확인할 수 있을지 궁금함, 그리고 이런 공격으로 얼만큼 수익을 내는지 알고 싶음
  • 요즘도 브라우저에서 웹사이트가 클립보드 내용을 읽을 수 있는지 궁금함
  • 기사 제목만 봐도 이런 식의 공격일 것 같았음, 순진할지 몰라도 예전엔 오픈소스 소프트웨어를 그냥 믿었음, 그때는 아무 배경지식 없이도 배포판이나 패키지를 바로 설치하곤 했음, 이제는 정말 꼭 필요한 것만 설치하게 됨

• 소스 스레드에 고정 댓글이 있음 https://old.reddit.com/r/xubuntu/…

  • “잠깐 실수였다”는 주장은 엄청난 축소 표현임, 이런 일을 ‘실수’라고 부르는 게 오히려 댓글을 남긴 관리자를 의심하게 만듦, 악성 exe와 xubuntu용 문구가 담긴 zip 파일을 직접 준비해서 서버에 올리고 토렌트 링크까지 연결하는 게 실수로 일어난다는 걸 믿을 수 없음
  • “실수였다”고 어정쩡하게 말하면서 악성코드 여부 확인도 안 하는 건 이상함을 넘어서 매우 의심스러움

• Xubuntu 공식 웹사이트에서 최신 ISO 파일의 체크섬을 확인해봤는데 정상적으로 보임
  https://mirror.us.leaseweb.net/ubuntu-cdimage/xubuntu/…

  • 내가 이해한 바로는, 공식 이미지 대신 토렌트 다운로드 링크에서 손상된 zip 파일을 받아서 생기는 문제임
    “토렌트 다운로드는 zip 파일 내부에 수상한 exe와 tos.txt가 들어 있음, tos에는 2026년 저작권 표기가 있는데 지금은 2025년이라 의심됨, file-roller로 exe를 열었는데 .torrent 파일은 찾을 수 없었음”
  • SHA256SUMS 파일의 기준을 어디서 구했는지 궁금함, 그리고 해당 체크섬 파일의 gpg 서명이 신뢰할 수 있는 곳에서 내려받은 것인지도 확인했는지 궁금함
  • 공격자가 조작된 ISO 파일을 올릴 수 있다면, 체크섬 파일도 함께 조작할 수 있다고 봄, https로 안전하게 다운로드하는 요즘에는 체크섬 자체의 효용에 의문이 생김, 체크섬을 신뢰하려면 믿을 만한 출처로부터 체계적 신뢰 체인이 필요함

• 스레드에서 무서웠던 것은 작년에 도메인 변경 후 가짜 lubuntu 사이트가 아직도 남아있다는 점임, 몇 주 전에 Lubuntu를 설치했는데 다행히 진짜 사이트에서 받았던 것 같음, 가짜 사이트는 19.04까지의 버전만 제공하고 있음
  오랜만에 Lubuntu를 설치해 최근 도메인 탈취 이슈를 몰랐음, 오늘 검색해봐도 별다른 추가 정보는 아직 못 찾았음

  • 그 웹사이트는 공식 사이트는 아니지만, 다양한 소프트웨어 정보를 장황히 AI로 풀어내는 기사와 광고로 가득 채운 뒤, 공식 다운로드 링크만 연결해주는 전형적인 워드프레스 광고 사이트임
    Bloxstrap 같은 Roblox 런처도 비슷한데, 공식 URL은 https://bloxstraplabs.com이지만 bloxstrap[.]net 등 가짜 사이트가 검색 상위에 많이 보임
    현재는 악성코드를 배포하지 않지만 언제든 상황이 바뀔 수 있음
  • uBlock Origin을 쓰면 lubuntu.net 접속 시 경고해주니 괜찮음

• 의심을 받는 요소 중 하나가 저작권 연도임, 2025년에 (C) 2026으로 되어 있는 게 이상할 수 있는데, 이는 전통적인 출판업계에서도 가끔 쓰는 방식임, 9월에 다음 해 연도가 적힌 교재를 받아보고 “미래에서 온 책”이라 놀란 적 있음

• 이런 레포트를 볼 때마다 궁금한 점은, 사람들이 정말 암호화폐 소프트웨어 지갑을 평소 쓰는 PC에다 두는지임, 나는 오로지 암호화폐 용도로만 사용되는 노트북을 따로 보관함, 이런 방식 외에는 안전한 방법이 떠오르지 않음

  • 실제로 암호화폐 업무를 데스크톱이나 랩탑에서 하는 사람은 소수임, 대부분의 사람들은 스마트폰 한 대로 모든 걸 처리함, 두 대의 기기를 보유한 사람도 적고, 아예 한 대를 암호화폐 전용으로 쓴다면 정말 극소수임
  • 편리함의 힘은 기대 이상임, 게다가 내 지갑엔 거의 아무것도 없어서 해커가 들어와도 손에 쥘 게 없을 거라고 생각함, 설령 털려도 큰 피해 없을 정도로 “텅 빈 지갑”임

• 이런 문제는 체크섬 검증을 더 철저히 해야 한다는 교훈임, 사이트가 뚫리면 체크섬도 마음대로 조작 가능함, 모든 주요(또는 전체) 배포판에 대한 중앙화된 체크섬 검증 시스템이 필요한 시점임

• 이번 사례에서는 ISO로 Windows를 완전히 밀고 리눅스를 설치하면 악성코드의 위력이 거의 무의미해질 듯함

  • 그런데 라이브 ISO로 체험만 하고 Windows로 복귀하면 감염되는 거 아님? 누군가 리눅스로 갈아타게 하려고 작정한 듯한 느낌임:P

• https://old.reddit.com/r/Ubuntu/…">아카이브된 레딧 스레드 링크

  • 이런 링크 고마움, 나처럼 모바일에서 레딧을 열면 앱이 강제 실행되고 뒤로가기 버튼이 꼬여 아주 불편해짐

• 누가 XFCE용 Wayland 컴포지터를 비밀리에 추가했냐는 농담

  • 사실 실제로 Wayland 로드맵 문서도 있음