Nach aktuellen Informationen wurde die Xubuntu-Webseite Mitte Oktober 2025 offenbar kompromittiert. Nutzer bemerkten fremdsprachige Blogeinträge und ein manipuliertes Impressum mit der Jahreszahl Copyright (c) 2026 Xubuntu.org. Diese Anzeichen deuten auf ein Defacement im Web-CMS der Xubuntu-Website hin, vermutlich über den Blog-Bereich oder ein eingebettetes Skript.
Zeitpunkt und Art des Angriffs
Laut Berichten aus der Community auf Reddit war die Seite am 11. Oktober 2025 noch normal, wurde aber kurz danach kompromittiert. Der Angriff scheint sich auf die Webprä:senz beschränkt zu haben und nicht auf Paketquellen oder Repositories. Seit dem 18. Oktober 2025 verdichten sich jedoch Berichte, dass über die offizielle Downloadseite Malware verteilt wurde.
Malware in Torrent-Downloads
Die Downloads enthielten eine ZIP-Datei mit einer verdächtigen EXE-Datei und einer tos.txt-Datei, die ebenfalls den Copyright-Hinweis mit dem Datum 2026 enthält. Es handelte sich vermutlich um einen Supply‑Chain‑Angriff. Die ZIP-Datei wurde laut Analysen des Online-Dienstes VirusTotal als Trojaner erkannt und führte beim Start ein Kommandozeilenfenster aus, was auf Schadcodeausführung hindeutet. Mittlerweile wurde die Malware entfernt, nachdem sie rund acht Stunden im Download ausgeliefert wurde. Die Bilder auf der offiziellen Canonical-Download-Präsenz waren davon nicht betroffen. Eine offizielle Stellungnahme vonseiten der Distribution oder von Canonical liegt bisher nicht vor.
Was ist zu tun?
Bis eine offizielle Stellungnahme vorliegt, sollten keine Downloads von der Xubuntu-Webseite getätigt werden. Anwender, die in den vergangenen Tagen Dateien von der Xubuntu-Webseite heruntergeladen und dabei eine Zip-Datei entpackt haben, sollten ihr System auf Viren überprüfen.
Warum eine Windows-Executable?
Noch ist nicht klar, warum die Malware hier auf eine .exe setzt, die unter Linux nicht nativ ausführbar ist. Eine Erklärung wäre, dass der Angriff Linux diskreditieren will, und sich gegen Umsteiger von Windows richtet, die wegen des Support-Endes von Windows 10 zu Linux gewechselt sind. Wenn auf solchen Systemen Wine eingerichtet ist, lässt sich eine Windows-Executable ausführen. Auf jeden Fall wird das Vertrauen in die Distributionsmechanismen von Linux untergraben. Angriffe auf Linux-Infrastrukturen haben in den vergangenen Monaten stark zugenommen. So sahen sich das Arch-AUR und Fedora massiven DDoS-Attacken ausgesetzt und das Gitlab von Red Hat wurde gehackt.
