Le site Web officiel de la distribution Xubuntu a été victime d’une attaque informatique. Les pirates ont discrètement remplacé les liens de téléchargement officiels par des fichiers malveillants. Le problème a été signalé par plusieurs internautes sur Reddit et d’autres forums spécialisés.
Des fichiers piégés à la place des torrents officiels
Normalement, le téléchargement de Xubuntu se fait via un fichier .torrent permettant d’obtenir la distribution Linux de manière sécurisée. Les pirates ont modifié les liens de Xubuntu.org pour pointer vers une archive ZIP contenant un exécutable Windows baptisé TestCompany.SafeDownloader.exe.
Une fois lancé, ce programme se fait passer pour un téléchargeur d’Ubuntu avec une interface graphique, tout en exécutant des commandes cachées en arrière-plan afin d’installer un malware.
Fait étonnant, le fichier malveillant ciblait uniquement les utilisateurs de Windows. Selon les analyses publiées sur VirusTotal, 26 antivirus sur 72 identifient le programme comme dangereux. Les experts estiment qu’il s’agit d’un crypto clipper, un type de logiciel malveillant qui intercepte les adresses de portefeuilles de cryptomonnaies copiées dans le presse-papiers pour les remplacer par celles des cybercriminels.
Autrement dit, toute personne infectée risquait de voir ses transactions en cryptomonnaies détournées vers les comptes des pirates.
Les versions Linux non affectées, mais prudence recommandée
Heureusement, les premiers rapports indiquent que les fichiers torrents officiels et les miroirs de Xubuntu n’ont pas été compromis. Le piratage semble avoir touché uniquement le site Web principal.
L’équipe du projet a publié une brève déclaration évoquant un « incident dans leur environnement d’hébergement », tout en désactivant la page de téléchargement.
Cette communication jugée trop vague laisse de nombreuses questions sans réponse, notamment sur la méthode d’intrusion utilisée par les attaquants et sur le nombre exact d’utilisateurs exposés.
Depuis l’incident, le site affiche une version antérieure datant d’avril 2024, avec la page de téléchargement partiellement désactivée. Il s’agit vraisemblablement d’une mesure temporaire de restauration d’urgence pour contenir la menace.
Comment se protéger ?
Les utilisateurs ayant récemment téléchargé Xubuntu depuis le site officiel sont invités à vérifier les sommes de contrôle (SHA256) des fichiers installés et à analyser leur système avec un antivirus à jour.
En cas de doute, il est recommandé de réinstaller le système à partir d’une source vérifiée, par exemple via le site officiel d’Ubuntu ou un miroir de confiance.
