Nach aktuellen Informationen wurde die Xubuntu-Webseite Mitte Oktober 2025 offenbar kompromittiert. Nutzer bemerkten fremdsprachige Blogeinträge und ein manipuliertes Impressum mit der Jahreszahl Copyright (c) 2026 Xubuntu.org. Diese Anzeichen deuten auf ein Defacement im Web-CMS der Xubuntu-Website hin, vermutlich über den Blog-Bereich oder ein eingebettetes Skript.
Zeitpunkt und Art des Angriffs
Laut Berichten aus der Community auf Reddit war die Seite am 11. Oktober 2025 noch normal, wurde aber kurz danach kompromittiert. Der Angriff scheint sich auf die Webpräsenz beschränkt zu haben und nicht auf Paketquellen oder Repositories. Seit dem 18. Oktober 2025 verdichten sich jedoch Berichte, dass über die offizielle Downloadseite Malware verteilt wurde.
Malware in Torrent Downloads
Downloads enthielten eine ZIP-Datei mit einer verdächtigen EXE-Datei und einer tos.txt-Datei, die ebenfalls den Copyright-Hinweis mit dem Datum 2026 enthält. Es handelte sich vermutlich um einen Supply‑Chain‑Angriff. Die ZIP-Datei wurde laut Analysen des Online-Dienstes VirusTotal als Trojaner erkannt und führte beim Start ein Kommandozeilenfenster aus, was auf Schadcodeausführung hindeutet. Mittlerweile wurde die Malware entfernt, nachdem sie rund acht Stunden im Download ausgeliefert wurde. Die Images auf der offiziellen Canonical-Download-Präsenz waren davon nicht betroffen. Eine offizielle Stellungnahme vonseiten der Distribution oder von Canonical liegt bisher nicht vor.
Was ist zu tun?
Bis eine offizielle Stellungnahme vorliegt, sollten keine Downloads von der Xubuntu-Webseite getätigt werden. Anwender, die in den vergangenen Tagen Dateien von der Xubuntu-Webseite heruntergeladen und dabei eine Zip-Datei entpackt haben, sollten ihr System auf Viren überprüfen.
Warum eine Windows-Executable?
Noch ist nicht klar, warum die Malware hier auf eine .exe setzt, die unter Linux nicht nativ ausführbar ist. Eine Erklärung wäre, dass der Angriff Linux diskreditieren will, und sich gegen Umsteiger von Windows richtet, die wegen des Support-Endes von Windows 10 zu Linux gewechselt sind. Wenn auf solchen Systemen Wine eingerichtet ist, lässt sich eine Windows-Executable ausführen. Auf jeden Fall wird das Vertrauen in die Distributionsmechanismen von Linux untergraben. Angriffe auf Linux-Infrastrukturen haben in den vergangenen Monaten stark zugenommen. So sahen sich das Arch-AUR und Fedora massiven DDoS-Attacken ausgesetzt und das Gitlab von Red Hat wurde gehackt.
Adendum:
Mittlerweile ist auch klar, was die Payload dieses Trojaners war: Es handelte sich um einen sogenannten Crypto-Clipper, der die Adressen der Krypto-Wallets in der Zwischenablage durch solche ersetzt, die den Angreifern gehören. Es scheint sich zu bestätigen, dass die Attacke sich gegen unerfahrene Anwender richtete, die frisch zu Linux gewechselt waren, denn der Trojaner nistete sich im versteckten Windows-Verzeichnis AppData ein.
Ich weiß das Verschwörungstheorien selten konstruktiv sind. Vielleicht ist es von mir etwas vorschnell, aber ich würde in diesem Fall einmal Nordkorea das Verursacher spontan ausschließen wollen.
Auffallend ist die breite Front, in der agiert wird.
Zuerst die Virusattacken im AUR, dann die Angriffe auf Fedora, die seit 4 Wochen fortlaufenden DDos Attacken auf die gesamte Arch Linux Präsens und nun das Aushebeln der Web-Präsens von Xubuntu.
Gegen Nordkorea spricht in diesem Fall wohl eher, dass das hier eher so Scriptkiddie-Niveau ist, während die Nordkoreaner meist ziemlich raffiniert vorgehen.
Wie schon zu Verschwörungstheorien bemerkt, ist es immer ein gewissen Wagnis mit Motivlagen zu argumentieren. Nordkorea läuft mit Linux. Red Star OS Version 4. um genauer zu sein. Xubuntu im Besonderen und Linux ganz allgemein stehen dort wohl eher nicht auf der Abschussliste.
Die Angriffe kommen, so ist zumindest anzunehmen, wohl aus einer anderen Richtung.
Nordkoreanischen Hackern geht es oft einfach nur um Geld. Und auch das hier dürfte ausschließlich finanziell motiviert gewesen sein.
Hey ich kann mich wieder anmelden. Was war passiert. Hat der Bann Hammer wieder zugeschlagen? Ich bin ja in einigen Foren unterwegs aber nur auf Linuxnews gibbet ständig Probleme. Auch das neue Bewertungssystem ist nicht gut. Ich weis das der admin genau sehen möchte wer hier was bewertet, anschaut, refresht und regelmäßig wieder reinschaut. Das macht Laune, ich weis, aber als Benutzer ist man dann doch schwer genervt.
Hallo holdon,
wenn der ‘Bannhammer’ zuschlägt könntest du die Seite nicht mal mehr besuchen, so viel erstmal dazu. Dein subjektives Empfinden bei uns gäbe es ständig Probleme kann ich so nicht bestätigen. Unsere Uptime muss sich hinter keinem IT-Verlagshaus verstecken und das als Hobbyprojekt von zwei Dudes die das neben ihren Vollzeitjobs machen (Der Admin hat davon sogar 2).
Das neue Bewertungssystem ist nicht optimal, wissen wir. Technisch ist es aber deutlich besser als der Koloss der hier zuvor gewerkelt hat. Da kann man dir als User keinen Vorwurf machen, das kann keiner außer den Betreibern wissen. Es wird besser, aber: Gut Ding will Weile haben.
Die Trackingunterstellung muss ich zurückweisen, das findet nicht statt. Wir verlangen lediglich eine Registrierung zur Spamverhinderung um somit die Kommentarmoderation in einem erträglichen Rahmen zu halten, mit dem netten Nebeneffekt, dass hier nahezu alle Kommentare in Echtzeit erscheinen. Tracking findet hier nicht statt. Wäre ja noch schöner, wenn ich Storage für “Wer liked was” bereitstellen müsste. Wir nutzen MariaDB nicht HANA, da würde die Datenbank platzen.
Nicht nur der User ist genervt, sondern auch der Admin. Wir sind leider aus WordPress rausgewachsen, Alternativen sind in Evaluation. Aber auch hier: Das dauert eben seine Zeit, Hobbyprojekt neben Vollzeitjobs und für euch Leser absolut Kosten-, Tracking- und Werbefrei.
@root
An dieser Stelle mal ein dickes Lob an die die beiden “Dudes”.
Also ich kann da nicht meckern. 😉
Ehrlich gesagt war mir gar nicht bewusst, dass ihr das alles zu zweit und komplett in Eigenregie stemmt. Respekt! Das erklärt natürlich einiges – und ich kriech dann mal wieder hinter meinen Stein zurück. 😅
Moin,
die lange Anmeldesperre auch bei mir sorgt natürlich für Spekulationen, die ich Euch auch per Kontaktformular mitgeteilt hatte, leider ohne Antwort. Wenn es jetzt wieder funktioniert, wie ich per Zufall hier erfahren habe, ist ja alles wieder gut.
Manchmal will man sich auch nur anmelden, um danke zu sagen.
Ich habe deine Mail gelesen. Warum sollten wir dein Konto deaktivieren? Stefan kann dir detaillierter erklären, warum die Anmeldeprozedur Probleme hatte. Wenn wir nicht immer gleich auf Mails antworten, so bitten wir, das zu entschuldigen. Wir sind beide ziemlich in unsere Jobs eingebunden.
Wenn politisch motiviert, dann halte ich das für sehr ineffizient. Es landen sehr wenige Windows User direkt bei Xubuntu; Xubuntu ist ja schon mehr Nische mit einem speziellen Nutzungsprofil, d.h. i.d.R. weiß man schon sehr genau, warum man bei Xubuntu ist, und dass man ein .iso will.
Ich interessiere mich eher dafür, wie der Angreifer da rein gekommen ist, ob die Webseite schlecht gewartet ist, oder ob da die anderen Projektseiten auch angreifbar sind.
Es gibt mittlerweile eine Seite auf Discourse, die aber derzeit noch gesperrt ist. Vielleicht gibt es da später Informationen.
Anscheinend dient die Malware dazu, die Adressen von Crypto-Wallets beim Kopieren und Einfügen auszutauschen. Im Grunde also nichts besonderes.
Ja, hab ich auch eben gelesen. Mich erstaunt eher, dass es immer noch keine aktuelle Stellungnahme gibt.
omgubuntu hat ein paar Aussagen zusammengetragen: https://www.omgubuntu.co.uk/2025/10/xubuntu-website-malware-hack
Vermutlich war eine schlecht gewartete WordPress-Installation das Einfallstor, was auch keine Überraschung sein dürfte.
Ein offizielles Statement fehlt immer noch, aber am Ende war es wohl einfach Schlamperei, die es den Angreifern leicht gemacht hat.
Das sieht so aus als ob der Download-Link zu der zip-Datei statt der iso-Datei führt. Windows User sind also direkt verwundbar wenn sie Xubuntu herunterladen wollen und das dann entpacken und ausführen.
Dass es hier irgendwie darum geht, Linux zu diskreditieren, halte ich übrigens für eher unwahrscheinlich. Solche Sachen sind idR immer irgendwie finanziell motiviert oder geschehen bestenfalls noch aus Schadenfreude.
Was heißt “Windows User sind also direkt verwundbar …”?
Wird das Schadprogramm unter Windows automatisch ausgeführt?
Interessant ist auch, ob die exe in Wine irgendwie automatisch ausgeführt werden könnte – was ich für nicht möglich halte.
Zum Thema “Schadenfreude”: Den Versuch einer Diskreditierung von Linux halte aus diesem Grund für den wahrscheinlichsten …
Einfach den Rest des Satzes lesen “wenn sie Xubuntu herunterladen wollen und das dann entpacken und ausführen”. Von selbst wird sich das natürlich nicht installieren. Allerdings gehe ich eben davon aus, dass Windows Systeme hier das Ziel waren und es daher egal ist, dass das auf Linux Systemen nicht so ohne weiteres ausführbar ist.
Windows Systeme waren nicht per se betroffen. Es waren nur die Windows user im Visier, die es wagten sich für Xubuntu zu interessieren. Ob dieses Virus tatsächlich eine große Gefahr darstellt ist dabei eher nebensächlich. Es genügt die Leute zu verunsichern und die Plattform zu diskreditieren.