Log for Ubuntu 台灣社群
駭客入侵 JDownloader 官網,散布夾帶惡意程式的下載檔 (★ 100 分)
JDownloader 這款熱門下載管理工具的官方網站遭入侵,攻擊者利用網站未修補的安全漏洞,在超過一天的時間內把 Windows 與 Linux 下載連結換成帶有惡意程式的安裝檔。事件最早由 Reddit 使用者發現:新下載的 Windows 安裝檔遭 Windows SmartScreen(Microsoft 的下載與執行風險攔截機制)警示,簽署者也從原本預期的 AppWork 變成可疑的 Zipline LLC。JDownloader 團隊隨後確認網站遭入侵,並暫時關閉網站進行調查。
官方初步調查指出,攻擊者在 5 月 6 日修改了「備用下載頁面」,把所有備用 Windows 安裝程式連結替換成惡意、未簽章的可執行檔;Linux shell 安裝程式也被植入惡意 shell 程式碼。團隊強調,主要的 JDownloader.jar(Java Archive,Java 應用程式封裝檔)、macOS 安裝程式,以及 Winget(Windows 套件管理工具)、Flatpak、Snap(Linux 應用程式封裝格式)等來源並未受影響,因為它們使用獨立基礎設施、校驗和(checksum,用於驗證檔案完整性)與端對端數位簽章保護;應用程式內更新也未遭入侵。
這次攻擊源自網站一個未修補漏洞,讓攻擊者不需驗證即可修改 ACL(Access Control List,存取控制清單),進而取得編輯權限並替換下載連結。部分執行受感染檔案的使用者回報,惡意程式甚至停用了 Windows Defender(Microsoft 內建防毒)。文章也將此事件歸類為供應鏈式攻擊,也就是藉由可信任軟體的官方散布管道散播惡意程式;類似案例近期也發生在 CPUID 官方網站,攻擊者曾針對 CPU-Z 與 HWMonitor 下載流程動手腳,並利用偽裝檔名與惡意 DLL(Dynamic Link Library,Windows 動態連結函式庫)載入方式提高欺騙性。
Hacker News 討論補充了更多驗證與使用情境。有人指出 Reddit 使用者已將多個可疑 JDownloader 安裝檔上傳到 VirusTotal(線上惡意程式掃描服務),也有人建議比對雜湊值(hash,檔案指紋)來確認檔案是否為同一批惡意樣本。討論中不少人批評 JDownloader 長期以來的安裝體驗與信任問題,包括 Windows 安裝程式曾被質疑捆綁廣告軟體、乾淨安裝檔不易找到、官方部分程式並非完全開源等;也有人提醒,若透過 `winget install AppWork.JDownloader` 等受保護來源安裝,風險可能較低。
同時,許多使用者也解釋為何 JDownloader 至今仍有需求:它能自動處理檔案代管站的倒數計時、CAPTCHA(人機驗證)、限速、每日下載額度、分割 RAR 壓縮檔與不穩定連線,對大型檔案、飯店 Wi-Fi、遊戲模組下載或冷門檔案代管站尤其有用。整體討論一方面肯定它在特殊下載場景的實用性,另一方面也凸顯官方網站安全、安裝檔簽章與發行流程可信度的重要性;部分開發者進一步主張,軟體發行成品應採用更嚴格的簽章或多重簽章機制,避免網站遭入侵時直接變成惡意程式散布入口。
👥 26 則討論、評論 💬
https://news.ycombinator.com/item?id=48062035
JDownloader 這款熱門下載管理工具的官方網站遭入侵,攻擊者利用網站未修補的安全漏洞,在超過一天的時間內把 Windows 與 Linux 下載連結換成帶有惡意程式的安裝檔。事件最早由 Reddit 使用者發現:新下載的 Windows 安裝檔遭 Windows SmartScreen(Microsoft 的下載與執行風險攔截機制)警示,簽署者也從原本預期的 AppWork 變成可疑的 Zipline LLC。JDownloader 團隊隨後確認網站遭入侵,並暫時關閉網站進行調查。
官方初步調查指出,攻擊者在 5 月 6 日修改了「備用下載頁面」,把所有備用 Windows 安裝程式連結替換成惡意、未簽章的可執行檔;Linux shell 安裝程式也被植入惡意 shell 程式碼。團隊強調,主要的 JDownloader.jar(Java Archive,Java 應用程式封裝檔)、macOS 安裝程式,以及 Winget(Windows 套件管理工具)、Flatpak、Snap(Linux 應用程式封裝格式)等來源並未受影響,因為它們使用獨立基礎設施、校驗和(checksum,用於驗證檔案完整性)與端對端數位簽章保護;應用程式內更新也未遭入侵。
這次攻擊源自網站一個未修補漏洞,讓攻擊者不需驗證即可修改 ACL(Access Control List,存取控制清單),進而取得編輯權限並替換下載連結。部分執行受感染檔案的使用者回報,惡意程式甚至停用了 Windows Defender(Microsoft 內建防毒)。文章也將此事件歸類為供應鏈式攻擊,也就是藉由可信任軟體的官方散布管道散播惡意程式;類似案例近期也發生在 CPUID 官方網站,攻擊者曾針對 CPU-Z 與 HWMonitor 下載流程動手腳,並利用偽裝檔名與惡意 DLL(Dynamic Link Library,Windows 動態連結函式庫)載入方式提高欺騙性。
Hacker News 討論補充了更多驗證與使用情境。有人指出 Reddit 使用者已將多個可疑 JDownloader 安裝檔上傳到 VirusTotal(線上惡意程式掃描服務),也有人建議比對雜湊值(hash,檔案指紋)來確認檔案是否為同一批惡意樣本。討論中不少人批評 JDownloader 長期以來的安裝體驗與信任問題,包括 Windows 安裝程式曾被質疑捆綁廣告軟體、乾淨安裝檔不易找到、官方部分程式並非完全開源等;也有人提醒,若透過 `winget install AppWork.JDownloader` 等受保護來源安裝,風險可能較低。
同時,許多使用者也解釋為何 JDownloader 至今仍有需求:它能自動處理檔案代管站的倒數計時、CAPTCHA(人機驗證)、限速、每日下載額度、分割 RAR 壓縮檔與不穩定連線,對大型檔案、飯店 Wi-Fi、遊戲模組下載或冷門檔案代管站尤其有用。整體討論一方面肯定它在特殊下載場景的實用性,另一方面也凸顯官方網站安全、安裝檔簽章與發行流程可信度的重要性;部分開發者進一步主張,軟體發行成品應採用更嚴格的簽章或多重簽章機制,避免網站遭入侵時直接變成惡意程式散布入口。
👥 26 則討論、評論 💬
https://news.ycombinator.com/item?id=48062035
Linux 爆發「Dirty Frag」嚴重漏洞 近八年所有 Linux 版本無一倖免 - 電腦領域 HKEPC Hardware - 全港 No.1 PC網站
https://www.hkepc.com/25700/Linux_%E7%88%86%E7%99%BCDirty_Frag%E5%9A%B4%E9%87%8D%E6%BC%8F%E6%B4%9E_%E8%BF%91%E5%85%AB%E5%B9%B4%E6%89%80%E6%9C%89_Linux_%E7%89%88%E6%9C%AC%E7%84%A1%E4%B8%80%E5%80%96%E5%85%8D
https://www.hkepc.com/25700/Linux_%E7%88%86%E7%99%BCDirty_Frag%E5%9A%B4%E9%87%8D%E6%BC%8F%E6%B4%9E_%E8%BF%91%E5%85%AB%E5%B9%B4%E6%89%80%E6%9C%89_Linux_%E7%89%88%E6%9C%AC%E7%84%A1%E4%B8%80%E5%80%96%E5%85%8D
felix T:
Linux 爆發「Dirty Frag」嚴重漏洞 近八年所有 Linux 版本無一倖免 - 電腦領域 HKEPC Hardware - 全港 No.1 PC網站
https://www.hkepc.com/25700/Linux_%E7%88%86%E7%99%BCDirty_Frag%E5%9A%B4%E9%87%8D%E6%BC%8F%E6%B4%9E_%E8%BF%91%E5%85%AB%E5%B9%B4%E6%89%80%E6%9C%89_Linux_%E7%89%88%E6%9C%AC%E7%84%A1%E4%B8%80%E5%80%96%E5%85%8D
Linux 爆發「Dirty Frag」嚴重漏洞 近八年所有 Linux 版本無一倖免 - 電腦領域 HKEPC Hardware - 全港 No.1 PC網站
https://www.hkepc.com/25700/Linux_%E7%88%86%E7%99%BCDirty_Frag%E5%9A%B4%E9%87%8D%E6%BC%8F%E6%B4%9E_%E8%BF%91%E5%85%AB%E5%B9%B4%E6%89%80%E6%9C%89_Linux_%E7%89%88%E6%9C%AC%E7%84%A1%E4%B8%80%E5%80%96%E5%85%8D
「Linux」基金會逾 97% 的預算並未用在 Linux 上 (★ 110 分)
Techrights 文章引用 Linux Foundation(LF,Linux 基金會)最新年度報告指出,LF 在 2025 年預估營收超過 3.1 億美元,但直接分配給 Linux 的預算不到 3%,作者計算後約為 2.95%。文章認為,這項資訊在報告中不夠醒目,需要比對多個頁面才能得出結論;對一個以 Linux 為名的組織來說,資源主要流向其他領域,反映出使命漂移(mission creep,組織逐漸偏離原本任務)。
文章進一步批評 LF 將大量預算投入與 Linux 核心無直接關係的專案與倡議,並以 openwashing(把商業或非開放實踐包裝成開放原始碼)形容其策略,認為「open」、「cloud」、「AI(人工智慧)」等詞被過度使用。作者也質疑 LF 對 Linux 商標與名義的使用是否仍合理,並指出 Linus Torvalds 已不是 LF 內薪酬最高的前十名人士之一,藉此凸顯 Linux 核心與 LF 組織重心之間的落差。
Hacker News 討論中,不少人認為「97% 沒有用在 Linux」這個說法需要更精確:若指的是 Linux 核心,數字可能成立;但 LF 早已不是只服務核心開發的組織,而是承載大量開放原始碼軟體(OSS,Open Source Software)專案的傘狀機構。有留言者指出,報告中約 800 萬美元用於 Linux 核心,約 1.8 億美元用於周邊專案支援,包含 Node.js/OpenJS、PyTorch、Electron、Kubernetes(K8s,容器編排平台)、vLLM、ONNX、GraphQL、Zephyr、containerd、gRPC、KiCad、ESLint、Fastify 等;這些專案多半建構在 Linux 生態系之上,也可能間接推動 Linux 的採用。
另一個討論焦點是 LF 的法律與財務定位。多位留言者提醒,LF 是美國 501(c)(6) 產業協會型組織,不是 501(c)(3) 公益型非營利組織,因此其資金主要來自企業會員、會費與服務收入,而非一般個人捐款;它本質上代表企業會員利益,不一定代表非企業開放原始碼社群。也有人批評稅務申報顯示大量支出落在研討會、薪資與營運成本,對非企業開發者的代表性不足;但也有人認為,行政開銷比例並不算特別高,真正值得追問的是 LF 如何治理龐大的開放原始碼生態系,而不只是 Linux 核心預算占比。
整體來看,文章點出 LF 名稱、資源分配與 Linux 核心貢獻之間的張力,也反映部分開發者對企業主導開放原始碼治理的不信任。不過討論也補充了關鍵脈絡:LF 已成為涵蓋雲端原生、開發工具、AI、硬體與基礎設施專案的大型產業平台,因此單用「未直接花在 Linux 核心」來衡量其價值,可能過度簡化;但其是否仍應以 Linux 之名取得公信力,仍是爭議核心。
👥 46 則討論、評論 💬
https://news.ycombinator.com/item?id=48071496
Techrights 文章引用 Linux Foundation(LF,Linux 基金會)最新年度報告指出,LF 在 2025 年預估營收超過 3.1 億美元,但直接分配給 Linux 的預算不到 3%,作者計算後約為 2.95%。文章認為,這項資訊在報告中不夠醒目,需要比對多個頁面才能得出結論;對一個以 Linux 為名的組織來說,資源主要流向其他領域,反映出使命漂移(mission creep,組織逐漸偏離原本任務)。
文章進一步批評 LF 將大量預算投入與 Linux 核心無直接關係的專案與倡議,並以 openwashing(把商業或非開放實踐包裝成開放原始碼)形容其策略,認為「open」、「cloud」、「AI(人工智慧)」等詞被過度使用。作者也質疑 LF 對 Linux 商標與名義的使用是否仍合理,並指出 Linus Torvalds 已不是 LF 內薪酬最高的前十名人士之一,藉此凸顯 Linux 核心與 LF 組織重心之間的落差。
Hacker News 討論中,不少人認為「97% 沒有用在 Linux」這個說法需要更精確:若指的是 Linux 核心,數字可能成立;但 LF 早已不是只服務核心開發的組織,而是承載大量開放原始碼軟體(OSS,Open Source Software)專案的傘狀機構。有留言者指出,報告中約 800 萬美元用於 Linux 核心,約 1.8 億美元用於周邊專案支援,包含 Node.js/OpenJS、PyTorch、Electron、Kubernetes(K8s,容器編排平台)、vLLM、ONNX、GraphQL、Zephyr、containerd、gRPC、KiCad、ESLint、Fastify 等;這些專案多半建構在 Linux 生態系之上,也可能間接推動 Linux 的採用。
另一個討論焦點是 LF 的法律與財務定位。多位留言者提醒,LF 是美國 501(c)(6) 產業協會型組織,不是 501(c)(3) 公益型非營利組織,因此其資金主要來自企業會員、會費與服務收入,而非一般個人捐款;它本質上代表企業會員利益,不一定代表非企業開放原始碼社群。也有人批評稅務申報顯示大量支出落在研討會、薪資與營運成本,對非企業開發者的代表性不足;但也有人認為,行政開銷比例並不算特別高,真正值得追問的是 LF 如何治理龐大的開放原始碼生態系,而不只是 Linux 核心預算占比。
整體來看,文章點出 LF 名稱、資源分配與 Linux 核心貢獻之間的張力,也反映部分開發者對企業主導開放原始碼治理的不信任。不過討論也補充了關鍵脈絡:LF 已成為涵蓋雲端原生、開發工具、AI、硬體與基礎設施專案的大型產業平台,因此單用「未直接花在 Linux 核心」來衡量其價值,可能過度簡化;但其是否仍應以 Linux 之名取得公信力,仍是爭議核心。
👥 46 則討論、評論 💬
https://news.ycombinator.com/item?id=48071496