Não tá mole pra ninguém. A equipe do Xubuntu explicou como seu site oficial foi invadido em outubro. Durante alguns dias, a página de download passou a entregar um arquivo ZIP malicioso no lugar do torrent verdadeiro.
O problema ficou restrito ao site Xubuntu.org, que usa WordPress e é administrado pela Canonical. Um invasor forçou o acesso a um componente frágil do WordPress e conseguiu injetar código que trocou os links legítimos pelos falsos.
O ZIP continha um executável para Windows com malware capaz de capturar links de contas de criptomoedas copiados para a área de transferência. Quem baixou um arquivo chamado Xubuntu-Safe-Download.zip deve apagá-lo imediatamente e verificar o sistema com um antivírus confiável.
Fora esse arquivo adulterado, nada mais no site ou na infraestrutura ligada ao projeto foi comprometido. Os servidores de imagens oficiais, repositórios, espelhos de ISO, sistemas de compilação e instalações já existentes do Xubuntu permanecem intactos.
Assim que o problema foi identificado, a equipe de segurança da Canonical bloqueou o site e removeu os links de torrent para impedir novas infecções. Mesmo com danos limitados, o time reconheceu que o episódio abalou a confiança dos usuários e pediu desculpas.
Para evitar que algo semelhante aconteça de novo, o projeto vai abandonar o WordPress e migrar o site para o Hugo, um gerador de páginas estáticas que reduz bastante as possibilidades de ataque. A renovação do site já era planejada, mas o incidente acelerou esse processo.
A comunidade do Xubuntu ajudou ativamente, avisando outros usuários, divulgando somas de verificação e oferecendo links alternativos de download até que tudo fosse normalizado, mostrando forte espírito de colaboração.
Com a questão resolvida e um novo site a caminho, os desenvolvedores voltam a focar na próxima versão LTS. O projeto busca novos colaboradores, e qualquer pessoa pode ajudar com documentação, testes e suporte à comunidade, sem necessidade de conhecimentos avançados de segurança.